Microsoft a averti mardi qu’il avait r\u00e9cemment rep\u00e9r\u00e9 une campagne malveillante ciblant les serveurs SQL qui exploite un binaire PowerShell int\u00e9gr\u00e9 pour assurer la persistance sur les syst\u00e8mes compromis.<\/p>\n
Les intrusions, qui utilisent les attaques par force brute comme vecteur de compromis initial, se distinguent par leur utilisation de l’utilitaire “sqlps.exe<\/a>“, le g\u00e9ant de la technologie mentionn\u00e9<\/a> dans une s\u00e9rie de tweets.<\/p>\n Les objectifs ultimes de la campagne sont inconnus, tout comme l’identit\u00e9 de l’acteur mena\u00e7ant qui l’organise. Microsoft traque le malware sous le nom “UtilisationSuspSQL<\/a>.”<\/p>\n L’utilitaire sqlps.exe, fourni par d\u00e9faut avec toutes les versions de SQL Servers, permet \u00e0 un agent SQL (un service Windows d’ex\u00e9cuter des t\u00e2ches planifi\u00e9es) d’ex\u00e9cuter des t\u00e2ches \u00e0 l’aide du sous-syst\u00e8me PowerShell.<\/p>\n “Les attaquants obtiennent une persistance sans fichier en engendrant l’utilitaire sqlps.exe, un wrapper PowerShell pour ex\u00e9cuter des applets de commande SQL, pour ex\u00e9cuter des commandes de reconnaissance et changer le mode de d\u00e9marrage du service SQL en LocalSystem”, a not\u00e9 Microsoft.<\/p>\n De plus, les attaquants ont \u00e9galement \u00e9t\u00e9 observ\u00e9s en train d’utiliser le m\u00eame module pour cr\u00e9er un nouveau compte avec r\u00f4le d’administrateur syst\u00e8me<\/a>permettant effectivement de prendre le contr\u00f4le de SQL Server.<\/p>\n Ce n’est pas la premi\u00e8re fois que des acteurs de la menace militarisent des binaires l\u00e9gitimes d\u00e9j\u00e0 pr\u00e9sents dans un environnement, une technique appel\u00e9e vivre hors de la terre (LotL), pour atteindre leurs objectifs inf\u00e2mes.<\/p>\n![\"Serveurs](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Les-pirates-obtiennent-une-persistance-sans-fichier-sur-les-serveurs.jpg\" "\\"Serveurs")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n