Fidye yazılımı ve Cobalt Strike yüklerini dağıtmak için kaba kuvvet saldırıları kullanan, açıkta kalan Microsoft SQL Server (MSSQL) veritabanlarını tehlikeye atan bir siber saldırı kampanyası keşfedildi.
Securonix tarafından yapılan bir araştırmaya göre, bu kampanya için gözlemlenen tipik saldırı dizisi, açığa çıkan MSSQL veritabanlarına kaba zorlamayla erişimle başlıyor. İlk sızmanın ardından, saldırganlar hedef sistem içindeki dayanaklarını genişletir ve MSSQL’i, uzaktan erişim Truva Atları (RAT’lar) ve “FreeWorld” adı verilen yeni bir Mimic fidye yazılımı türü de dahil olmak üzere birçok farklı yükü başlatmak için bir dayanak noktası olarak kullanır. İkili dosya adlarında “FreeWorld” kelimesi, FreeWorld-Contact.txt adlı bir fidye talimat dosyası ve “.FreeWorldEncryption” olan fidye yazılımı uzantısı.
Saldırganlar ayrıca Cobalt Strike komuta ve kontrol aracısı (srv.exe) ve AnyDesk’i içeren araçlarını barındıran bir dizini bağlamak için uzak bir SMB paylaşımı oluşturur; ve kimlik bilgilerinin boşaltılması ve ağ içinde yatay olarak hareket edilmesi için bir ağ bağlantı noktası tarayıcısı ve Mimikatz’ı kullanırlar. Son olarak tehdit aktörleri, kullanıcı oluşturma ve değişiklikten, kayıt defteri değişikliklerine kadar savunmaları zayıflatacak yapılandırma değişiklikleri de gerçekleştirdi.
Securonix, kampanyayı “DB#JAMMER” olarak adlandırıyor ve araştırma ekibi, bunun, saldırganın araç altyapısı ve yükleri kullanması ve hızlı yürütülmesi açısından “yüksek düzeyde karmaşıklık” sergilediğini söyledi.
Securonix araştırmacıları, “Bu araçlardan bazıları; numaralandırma yazılımı, RAT yükleri, istismar ve kimlik bilgileri çalma yazılımları ve son olarak fidye yazılımı yüklerini içeriyor.” raporda belirtildi.
Securonix’in tehdit araştırması ve siber güvenlikten sorumlu başkan yardımcısı Oleg Kolesnikov, “Bu, sık sık gördüğümüz bir şey değil ve bu saldırı dizisini gerçekten diğerlerinden ayıran şey, tehdit aktörleri tarafından kullanılan kapsamlı araçlar ve altyapıdır” diyor.
Kolesnikov, kampanyanın halen devam ettiğine dikkat çekiyor ancak kendi değerlendirmesi şu aşamada kampanyanın nispeten hedefe yönelik bir kampanya olduğu yönünde.
“Bu aşamadaki mevcut değerlendirmemiz risk seviyesinin orta ila yüksek olduğu yönünde çünkü saldırganların kullandığı sızma vektörlerinin MSSQL ile sınırlı olmadığına dair bazı göstergeler var” diye ekliyor.
Bu son tehdidin keşfi, fidye yazılımının 2023’te daha fazla kuruluşu mağdur etme yolunda ilerlediği ve saldırganların, savunucular bir enfeksiyonu tespit edemeden geniş çapta hasara yol açacak saldırıları hızla artırdığı bir dönemde ortaya çıktı.
MSSQL’i Güvenli Tutmak
Kolesnikov, işletmelerin internete maruz kalmalarını sınırlandırarak MSSQL hizmetleriyle ilişkili saldırı yüzeylerini azaltmalarını tavsiye ediyor ve araştırmacılar, eğer mümkünse kurban edilen MSSQL veritabanı sunucularının harici bağlantılara ve zayıf hesap kimlik bilgilerine sahip olduğu ve popüler tekrarlanan hedefler olduğu konusunda uyarıyor. AhnLab araştırmacılarının gözlemlediği bir örnekte, ihlal edilen bir MSSQL sunucusunun kimlik bilgileri çeşitli tehdit aktörleri tarafından ele geçirildi ve geride çeşitli fidye yazılımı türlerinin, Remcos RAT’ın ve madeni para madencilerinin izleri kaldı.
Standart işletim prosedürlerinin bir parçası olarak xp_cmdshell kullanımının kısıtlanması da dahil olmak üzere, “Ek olarak güvenlik ekipleri, saldırının ilerleyişi ve kötü niyetli tehdit aktörlerinin kullandığı davranışlarla ilgili savunmaları anlamalı ve uygulamalıdır” diyor. Rapor ayrıca kuruluşların genel kötü amaçlı yazılım hazırlama dizinlerini, özellikle “C:\
Palo Alto’nun Birim 42’sinin Temmuz ayı raporuna göre, savunmasız SQL sunucularını hedef alan kötü amaçlı faaliyetler 2022’ye kıyasla %174 arttı.