Slecht beveiligde Microsoft SQL-servers (MS SQL) worden aangevallen in de regio’s van de VS, de Europese Unie en Latijns-Amerika (LATAM), als onderdeel van een voortdurende financieel gemotiveerde campagne om initiële toegang te verkrijgen.
“De geanalyseerde dreigingscampagne lijkt op twee manieren te eindigen: óf door het verkopen van ‘toegang’ aan de gecompromitteerde host, óf door de uiteindelijke levering van ransomware-payloads”, aldus Securonix-onderzoekers Den Iuzvyk, Tim Peck en Oleg Kolesnikov in een technische mededeling. rapport gedeeld met The Hacker News.
De campagne, gekoppeld aan acteurs van Turkse afkomst, heeft de codenaam gekregen HER#TURGENTIE door het cyberbeveiligingsbedrijf.
De eerste toegang tot de servers omvat het uitvoeren van brute-force-aanvallen, gevolgd door het gebruik van de xp_cmdshell-configuratieoptie om shell-opdrachten uit te voeren op de gecompromitteerde host. Deze activiteit weerspiegelt die van een eerdere campagne genaamd DB#JAMMER die in september 2023 aan het licht kwam.
Deze fase maakt de weg vrij voor het ophalen van een PowerShell-script van een externe server die verantwoordelijk is voor het ophalen van een versluierde Cobalt Strike-bakenpayload.
De post-exploitatie toolkit wordt vervolgens gebruikt om de AnyDesk externe desktop-applicatie te downloaden van een gekoppelde netwerkshare voor toegang tot de machine en het downloaden van aanvullende tools zoals Mimikatz om inloggegevens te verzamelen en Advanced Port Scanner om verkenningen uit te voeren.
Zijwaartse verplaatsing wordt bereikt door middel van een legitiem hulpprogramma voor systeembeheer genaamd PsExec, dat programma’s kan uitvoeren op externe Windows-hosts.
Die aanvalsketen culmineert uiteindelijk in de inzet van de Mimic-ransomware, waarvan een variant ook werd gebruikt in de DB#JAMMER-campagne.
“De indicatoren en kwaadaardige TTP’s die in de twee campagnes worden gebruikt, zijn compleet verschillend, dus de kans is zeer groot dat dit twee ongelijksoortige campagnes zijn”, vertelde Kolesnikov aan The Hacker News.
“Meer specifiek: hoewel de initiële infiltratiemethoden vergelijkbaar zijn, was DB#JAMMER iets geavanceerder en maakte gebruik van tunneling. RE#TURGENCE is doelgerichter en maakt vaak gebruik van legitieme tools en monitoring en beheer op afstand, zoals AnyDesk, in een poging om op te gaan in de normale activiteiten.”
Securonix zei dat het een operationele veiligheidsblunder (OPSEC) aan het licht had gebracht, gemaakt door de bedreigingsactoren, waardoor het de klembordactiviteit kon monitoren vanwege het feit dat de functie voor het delen van het klembord van AnyDesk was ingeschakeld.
Dit maakte het mogelijk om hun Turkse afkomst en hun online alias atseverse te achterhalen, wat ook overeenkomt met een profiel op Steam en een Turks hackforum genaamd SpyHack.
“Wees altijd terughoudend met het rechtstreeks blootstellen van kritieke servers aan het internet”, waarschuwden de onderzoekers. “In het geval van RE#TURGENCE konden aanvallers direct met brute kracht de server binnendringen van buiten het hoofdnetwerk.”
