Les serveurs Microsoft SQL (MS SQL) mal sécurisés sont ciblés aux États-Unis, dans l’Union européenne et dans les régions d’Amérique latine (LATAM) dans le cadre d’une campagne continue motivée par des raisons financières pour obtenir un premier accès.
« La campagne de menace analysée semble se terminer de deux manières, soit par la vente d’un ‘accès’ à l’hôte compromis, soit par la livraison finale de charges utiles de ransomware », ont déclaré les chercheurs de Securonix Den Iuzvyk, Tim Peck et Oleg Kolesnikov dans une étude technique. rapport partagé avec The Hacker News.
La campagne, liée à des acteurs d’origine turque, a été baptisée RÉ#TURGENCE par la société de cybersécurité.
L’accès initial aux serveurs implique la conduite d’attaques par force brute, suivies de l’utilisation de option de configuration xp_cmdshell pour exécuter des commandes shell sur l’hôte compromis. Cette activité reflète celle d’une campagne antérieure baptisée DB#JAMMER qui a vu le jour en septembre 2023.
Cette étape ouvre la voie à la récupération d’un script PowerShell à partir d’un serveur distant chargé de récupérer une charge utile de balise Cobalt Strike obscurcie.
La boîte à outils post-exploitation est ensuite utilisée pour télécharger l’application de bureau à distance AnyDesk à partir d’un partage réseau monté afin d’accéder à la machine et de télécharger des outils supplémentaires tels que Mimikatz pour récolter les informations d’identification et Advanced Port Scanner pour effectuer la reconnaissance.
Le mouvement latéral est effectué au moyen d’un utilitaire d’administration système légitime appelé PsExecqui peut exécuter des programmes sur les hôtes Windows distants.
Cette chaîne d’attaque culmine finalement avec le déploiement de Imitez un ransomwaredont une variante a également été utilisée dans la campagne DB#JAMMER.
« Les indicateurs ainsi que les TTP malveillants utilisés dans les deux campagnes sont complètement différents, il y a donc de très fortes chances qu’il s’agisse de deux campagnes disparates », a déclaré Kolesnikov à The Hacker News.
« Plus précisément, alors que les méthodes d’infiltration initiales sont similaires, DB#JAMMER était légèrement plus sophistiqué et utilisait le tunneling. RE#TURGENCE est plus ciblé et a tendance à utiliser des outils légitimes ainsi que de surveillance et de gestion à distance, tels qu’AnyDesk, dans le but de se fondre dans l’activité normale.
Securonix a déclaré avoir découvert une erreur de sécurité opérationnelle (OPSEC) commise par les acteurs de la menace, qui lui a permis de surveiller l’activité du presse-papiers en raison du fait que le fonctionnalité de partage du presse-papiers d’AnyDesk a été activé.
Cela a permis de glaner leurs origines turques et leur pseudonyme en ligne atseverse, qui correspond également à un profil sur Steam et un forum de hacking turc appelé SpyHack.
« Évitez toujours d’exposer les serveurs critiques directement à Internet », préviennent les chercheurs. « Dans le cas de RE#TURGENCE, les attaquants ont pu directement pénétrer par force brute dans le serveur depuis l’extérieur du réseau principal. »