Araştırmacılar tarafından RE#TURGENCE kod adı verilen karmaşık bir saldırı kampanyasının, temel amacı Mimic fidye yazılımı yüklerini dağıtmak olan Amerika Birleşik Devletleri, Avrupa Birliği ve Latin Amerika’daki Microsoft SQL (MSSQL) veritabanı sunucularına sızdığı keşfedildi.
RE#TURGENCE’ın işleyiş biçimi başka bir potansiyel sonuçla da sonuçlanıyor: Securonix’e göre ele geçirilen sunuculara erişimin yasadışı satışı rapor, Bugün, tehdidin ayrıntılarını açıklıyoruz. Buradaki araştırmacılar, Türkiye merkezli kötü niyetli aktörlerin bu nedenle finansal motivasyona sahip göründüklerine dikkat çekti.
Bunun ötesinde saldırganların niteliği bilinmiyor; Securonix’in özel Tehdit Araştırma ekibi, ancak grubun önemli bir operasyonel güvenlik (OPSEC) hatasından sonra mevcut saldırı dalgasına ilişkin kritik bilgiler toplayabildi.
Araştırmacılar, bu ihlalin kapsamlı iletişimleri, müzakere taktiklerini, ele geçirilen şifreleri ve paha biçilmez istihbarat hazinesini ortaya çıkardığını söyledi.
MSSQL Sunucularına Taklit Fidye Yazılımı Saldırılarının Anatomisi
Microsoft’un tescilli ilişkisel veritabanı, görev açısından kritik yapısı ve işletmeler, kritik altyapı ve hükümet de dahil olmak üzere çeşitli sektörlerdeki geniş dağıtımı göz önüne alındığında, siber saldırganlar arasında popüler bir hedeftir.
Securonix, saldırı yüzeyine yönelik en son saldırı olan RE#TURGENCE kampanyasında, saldırganların platformdaki bilinen kritik güvenlik açıklarından yararlanarak MSSQL sunucularına odaklandığını tespit edebildi; daha sonra bu sunucuların doğasında bulunan ve yönetim yetenekleri sağlayan etkin xp_cmdshell işlevini kullanırlar.
Tehdit aktörleri, bu dayanaktan yararlanarak, hedeflenen ana bilgisayarda kötü amaçlı kod çalıştırabilir ve sınırsız erişimlerini daha da kolaylaştırabilir; Securonix’e göre saldırganlar daha sonra mevcut savunmaları ortadan kaldırmak için mermi komutlarını kullanarak hemen sistem numaralandırmaya dönebilirler.
Tehdit aktörleri daha sonra ele geçirilen sunucudaki varlıklarını sağlamlaştırmak, kalıcılık ve kontrol sağlamak için bir dizi araç dağıtıyor ve ardından Mimikatz ve Advanced Port Scanner verilerinden yararlanarak ağ içinde hareket ediyor.
Mimic fidye yazılımı, hedef dosyaları bulmak ve şifrelemek için VoidTools’un meşru “Her Şey” uygulamasını kullanıyor. Bir yıl önce ortaya çıkan saldırılarda kullanılan Mimic varyantı, fidye yazılımının tamamlanması için gerekli dosyaların yürütülmesini sağlayan “red25.exe”yi damlatıcı olarak kullanıyor.
Securonix raporunda, “Sonunda MIMIC fidye yazılımı, tehdit aktörleri tarafından manuel olarak yürütüldü ve önce MSSQL sunucusunda, bir etki alanı denetleyicisinde ve etki alanına katılan diğer ana bilgisayarlarda yürütüldü.”
MSSQL Veritabanı Güvenliğinin Tehlikesinden Kaçınma
MSSQL veritabanları sıklıkla yanlış yapılandırılmıştırBu da siber suçlular arasında popüler olmalarına katkıda bulunuyor. Ve gerçekten de bir Temmuz 2023 rapor Palo Alto’nun Birim 42’sinden yapılan bir araştırma, bir önceki yıla kıyasla savunmasız SQL sunucularını hedef alan kötü niyetli saldırılarda %174 oranında şaşırtıcı bir artış olduğunu ortaya çıkardı.
Kendilerini korumak için kuruluşlar öncelikle temel yapılandırmaların güvenli olduğundan emin olmalı ve mümkünse veritabanları halka açık sunucularda etkinleştirilmemelidir.
Bunun ötesinde, Securonix’in tehdit araştırması ve siber güvenlikten sorumlu başkan yardımcısı Oleg Kolesnikov, “saldırganların uzaktan kod yürütmek için büyük oranda xp_cmdshell prosedürüne güvenmesi nedeniyle kullanımın sınırlandırılması veya xp_cmdshell prosedürünün devre dışı bırakılması öneriliyor” diyor. “Bunun iyi bilinen bir saldırı tekniği olduğu durumlarda, kullanımıyla ilgili saldırı yüzeyinin azaltılmasına yönelik en iyi uygulamaları takip etmek önemlidir.”
Firmanın raporu ayrıca hem tespit hem de tehdit avcılığı için gelişmiş telemetri için uç noktalarda ve sunucularda süreç düzeyinde günlük kaydının etkinleştirilmesini önerdi.
Kolesnikov, “Maruziyeti sınırlamanın yanı sıra, kuruluşların veri tabanı sunucularını izlemeleri ve örneğin bu tür saldırıları zamanında tespit edip önleyebilmek için SIEM/SOAR’ın bir parçası olarak gelişmiş telemetrinin mevcut olduğundan emin olmaları önemlidir.” söz konusu.
DB#JAMMER Siber Saldırılarından Farklı TTP’ler
Araştırmacılar önceden uyarılmıştı Dış bağlantılara ve zayıf hesap kimlik bilgilerine sahip savunmasız MSSQL veritabanı sunucularını hedef alan ve FreeWorld olarak bilinen Mimic fidye yazılımının başka bir sürümünü düşüren “DB#JAMMER” saldırılarının sayısı.
Kolesnikov RE#TURGENCE tehdit kampanyasını anlattı bundan ve önceki MSSQL veritabanı sunucusu hedefleme saldırılarından farklıdır, Yine de.
“Özellikle, ilk sızma yöntemleri benzer olsa da DB#JAMMER biraz daha karmaşıktı ve tünelleme kullanıyordu” dedi. “RE#TURGENCE daha hedefe yöneliktir ve normal aktiviteye uyum sağlamak amacıyla AnyDesk gibi meşru araçları ve uzaktan izleme ve yönetimi kullanma eğilimindedir.”