{"id":1093522,"date":"2024-01-09T13:02:15","date_gmt":"2024-01-09T15:02:15","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-turcs-exploitent-des-serveurs-ms-sql-mal-securises-a-travers-le-monde\/"},"modified":"2024-01-09T13:02:19","modified_gmt":"2024-01-09T15:02:19","slug":"des-pirates-informatiques-turcs-exploitent-des-serveurs-ms-sql-mal-securises-a-travers-le-monde","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-turcs-exploitent-des-serveurs-ms-sql-mal-securises-a-travers-le-monde\/","title":{"rendered":"Des pirates informatiques turcs exploitent des serveurs MS SQL mal s\u00e9curis\u00e9s \u00e0 travers le monde"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">09 janvier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des donn\u00e9es \/ Cyberattaque<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Des-pirates-informatiques-turcs-exploitent-des-serveurs-MS-SQL-mal.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les serveurs Microsoft SQL (MS SQL) mal s\u00e9curis\u00e9s sont cibl\u00e9s aux \u00c9tats-Unis, dans l&#8217;Union europ\u00e9enne et dans les r\u00e9gions d&#8217;Am\u00e9rique latine (LATAM) dans le cadre d&#8217;une campagne continue motiv\u00e9e par des raisons financi\u00e8res pour obtenir un premier acc\u00e8s.<\/p>\n<p>&#8220;La campagne de menace analys\u00e9e semble se terminer de deux mani\u00e8res, soit par la vente d&#8217;un &#8216;acc\u00e8s&#8217; \u00e0 l&#8217;h\u00f4te compromis, soit par la livraison finale de charges utiles de ransomware&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Securonix Den Iuzvyk, Tim Peck et Oleg Kolesnikov dans une \u00e9tude technique. <a rel=\"nofollow noopener\" href=\"https:\/\/www.securonix.com\/blog\/securonix-threat-research-security-advisory-new-returgence-attack-campaign-turkish-hackers-target-mssql-servers-to-deliver-domain-wide-mimic-ransomware\/\" target=\"_blank\">rapport<\/a> partag\u00e9 avec The Hacker News.<\/p>\n<p>La campagne, li\u00e9e \u00e0 des acteurs d&#8217;origine turque, a \u00e9t\u00e9 baptis\u00e9e <strong>R\u00c9#TURGENCE<\/strong> par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/BHcgTukm\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1704092918_732_Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;acc\u00e8s initial aux serveurs implique la conduite d&#8217;attaques par force brute, suivies de l&#8217;utilisation de <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/sql\/database-engine\/configure-windows\/xp-cmdshell-server-configuration-option\" target=\"_blank\">option de configuration xp_cmdshell<\/a> pour ex\u00e9cuter des commandes shell sur l&#8217;h\u00f4te compromis.  Cette activit\u00e9 refl\u00e8te celle d\u2019une campagne ant\u00e9rieure baptis\u00e9e DB#JAMMER qui a vu le jour en septembre 2023.<\/p>\n<p>Cette \u00e9tape ouvre la voie \u00e0 la r\u00e9cup\u00e9ration d&#8217;un script PowerShell \u00e0 partir d&#8217;un serveur distant charg\u00e9 de r\u00e9cup\u00e9rer une charge utile de balise Cobalt Strike obscurcie.<\/p>\n<p>La bo\u00eete \u00e0 outils post-exploitation est ensuite utilis\u00e9e pour t\u00e9l\u00e9charger l&#8217;application de bureau \u00e0 distance AnyDesk \u00e0 partir d&#8217;un partage r\u00e9seau mont\u00e9 afin d&#8217;acc\u00e9der \u00e0 la machine et de t\u00e9l\u00e9charger des outils suppl\u00e9mentaires tels que Mimikatz pour r\u00e9colter les informations d&#8217;identification et Advanced Port Scanner pour effectuer la reconnaissance.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1704812534_343_Des-pirates-informatiques-turcs-exploitent-des-serveurs-MS-SQL-mal.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1704812534_343_Des-pirates-informatiques-turcs-exploitent-des-serveurs-MS-SQL-mal.jpg\" alt=\"Serveurs MS SQL\" border=\"0\" data-original-height=\"430\" data-original-width=\"728\" title=\"Serveurs MS SQL\"\/><\/a><\/div>\n<p>Le mouvement lat\u00e9ral est effectu\u00e9 au moyen d&#8217;un utilitaire d&#8217;administration syst\u00e8me l\u00e9gitime appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.praetorian.com\/blog\/threat-hunting-how-to-detect-psexec\/\" target=\"_blank\">PsExec<\/a>qui peut <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/sysinternals\/downloads\/psexec\" target=\"_blank\">ex\u00e9cuter des programmes<\/a> sur les h\u00f4tes Windows distants.<\/p>\n<p>Cette cha\u00eene d\u2019attaque culmine finalement avec le d\u00e9ploiement de <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_in\/research\/23\/a\/new-mimic-ransomware-abuses-everything-apis-for-its-encryption-p.html\" target=\"_blank\">Imitez un ransomware<\/a>dont une variante a \u00e9galement \u00e9t\u00e9 utilis\u00e9e dans la campagne DB#JAMMER.<\/p>\n<p>&#8220;Les indicateurs ainsi que les TTP malveillants utilis\u00e9s dans les deux campagnes sont compl\u00e8tement diff\u00e9rents, il y a donc de tr\u00e8s fortes chances qu&#8217;il s&#8217;agisse de deux campagnes disparates&#8221;, a d\u00e9clar\u00e9 Kolesnikov \u00e0 The Hacker News.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>\u00ab Plus pr\u00e9cis\u00e9ment, alors que les m\u00e9thodes d\u2019infiltration initiales sont similaires, DB#JAMMER \u00e9tait l\u00e9g\u00e8rement plus sophistiqu\u00e9 et utilisait le tunneling.  RE#TURGENCE est plus cibl\u00e9 et a tendance \u00e0 utiliser des outils l\u00e9gitimes ainsi que de surveillance et de gestion \u00e0 distance, tels qu&#8217;AnyDesk, dans le but de se fondre dans l&#8217;activit\u00e9 normale.<\/p>\n<p>Securonix a d\u00e9clar\u00e9 avoir d\u00e9couvert une erreur de s\u00e9curit\u00e9 op\u00e9rationnelle (OPSEC) commise par les acteurs de la menace, qui lui a permis de surveiller l&#8217;activit\u00e9 du presse-papiers en raison du fait que le <a rel=\"nofollow noopener\" href=\"https:\/\/support.anydesk.com\/knowledge\/file-manager-and-file-transfer\" target=\"_blank\">fonctionnalit\u00e9 de partage du presse-papiers<\/a> d&#8217;AnyDesk a \u00e9t\u00e9 activ\u00e9.<\/p>\n<p>Cela a permis de glaner leurs origines turques et leur pseudonyme en ligne atseverse, qui correspond \u00e9galement \u00e0 un profil sur Steam et un forum de hacking turc appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/spyhack.org\/forum\/\" target=\"_blank\">SpyHack<\/a>.<\/p>\n<p>&#8220;\u00c9vitez toujours d&#8217;exposer les serveurs critiques directement \u00e0 Internet&#8221;, pr\u00e9viennent les chercheurs.  &#8220;Dans le cas de RE#TURGENCE, les attaquants ont pu directement p\u00e9n\u00e9trer par force brute dans le serveur depuis l&#8217;ext\u00e9rieur du r\u00e9seau principal.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/turkish-hackers-exploiting-poorly.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80209 janvier 2024\ue804R\u00e9dactionS\u00e9curit\u00e9 des donn\u00e9es \/ Cyberattaque Les serveurs Microsoft SQL (MS SQL) mal s\u00e9curis\u00e9s sont cibl\u00e9s aux \u00c9tats-Unis, dans l&#8217;Union europ\u00e9enne et dans les r\u00e9gions d&#8217;Am\u00e9rique latine (LATAM) dans le cadre d&#8217;une campagne continue motiv\u00e9e par des raisons financi\u00e8res pour obtenir un premier acc\u00e8s. &#8220;La campagne de menace analys\u00e9e semble se terminer de deux [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1093523,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4168,4165,4161,200267,133,8736,8154,4159,4171,200271,376,200268,1056,200269,200270,4394,48344,128318,4172,4169,8541,8542,4201,25097,4166,4164],"class_list":["post-1093522","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-des","tag-exploitent","tag-informatiques","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mal","tag-mises-a-jour-sur-la-cybersecurite","tag-monde","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-pirates","tag-securises","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-serveurs","tag-sql","tag-travers","tag-turcs","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1093522","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1093522"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1093522\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1093523"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1093522"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1093522"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1093522"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}