Microsoft advirti\u00f3 el martes que recientemente detect\u00f3 una campa\u00f1a maliciosa dirigida a servidores SQL que aprovecha un binario integrado de PowerShell para lograr la persistencia en los sistemas comprometidos.<\/p>\n
Las intrusiones, que aprovechan los ataques de fuerza bruta como vector de compromiso inicial, destacan por el uso de la utilidad “sqlps.exe<\/a>el gigante de la tecnolog\u00eda dicho<\/a> en una serie de tuits.<\/p>\n Se desconocen los objetivos finales de la campa\u00f1a, al igual que la identidad del actor de amenazas que la organiza. Microsoft est\u00e1 rastreando el malware bajo el nombre “SuspSQLUsagesuspSQLUsage<\/a>.”<\/p>\n La utilidad sqlps.exe, que viene de forma predeterminada con todas las versiones de SQL Server, permite que un Agente SQL, un servicio de Windows para ejecutar tareas programadas, ejecute trabajos utilizando el subsistema PowerShell.<\/p>\n “Los atacantes logran una persistencia sin archivos al generar la utilidad sqlps.exe, un contenedor de PowerShell para ejecutar cmdlets construidos en SQL, para ejecutar comandos de reconocimiento y cambiar el modo de inicio del servicio SQL a LocalSystem”, se\u00f1al\u00f3 Microsoft.<\/p>\n Adem\u00e1s, tambi\u00e9n se ha observado a los atacantes usando el mismo m\u00f3dulo para crear una nueva cuenta con rol de administrador del sistema<\/a>haciendo posible efectivamente tomar el control sobre SQL Server.<\/p>\n Esta no es la primera vez que los actores de amenazas han armado binarios leg\u00edtimos que ya est\u00e1n presentes en un entorno, una t\u00e9cnica llamada living-off-the-land (LotL), para lograr sus nefastos objetivos.<\/p>\n![\"Servidores](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/Los-piratas-informaticos-obtienen-persistencia-sin-archivos-en-los-servidores.jpg\" "\\"Servidores")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n