Les serveurs Microsoft SQL (MS SQL) vuln\u00e9rables faisant face \u00e0 Internet sont cibl\u00e9s par des acteurs de la menace dans le cadre d’une nouvelle campagne visant \u00e0 d\u00e9ployer l’outil de simulation d’adversaires Cobalt Strike sur des h\u00f4tes compromis.<\/p>\n
“Les attaques qui ciblent les serveurs MS SQL incluent les attaques contre l’environnement o\u00f9 sa vuln\u00e9rabilit\u00e9 n’a pas \u00e9t\u00e9 corrig\u00e9e, le for\u00e7age brutal et attaque par dictionnaire<\/a> contre les serveurs mal g\u00e9r\u00e9s \u00bb, la soci\u00e9t\u00e9 sud-cor\u00e9enne de cybers\u00e9curit\u00e9 AhnLab Security Emergency Response Center (ASEC) mentionn\u00e9<\/a> dans un rapport publi\u00e9 lundi.<\/p>\n Cobalt Strike est une application commerciale compl\u00e8te cadre de test d’intrusion<\/a> qui permet \u00e0 un attaquant de d\u00e9ployer un agent nomm\u00e9 “Beacon” sur la machine victime, accordant \u00e0 l’op\u00e9rateur un acc\u00e8s \u00e0 distance au syst\u00e8me. Bien que pr\u00e9sent\u00e9es comme une plate-forme de simulation de menace d’\u00e9quipe rouge, les versions pirat\u00e9es du logiciel ont \u00e9t\u00e9 activement utilis\u00e9es par un large \u00e9ventail d’acteurs de la menace.<\/p>\n Les intrusions observ\u00e9es par l’ASEC impliquent l’acteur non identifi\u00e9 scannant le port 1433 pour rechercher les serveurs MS SQL expos\u00e9s afin d’effectuer des attaques par force brute ou par dictionnaire contre le compte de l’administrateur syst\u00e8me, c’est-\u00e0-dire, compte “sa”<\/a>pour tenter une connexion.<\/p>\n Cela ne veut pas dire que les serveurs non accessibles sur Internet ne sont pas vuln\u00e9rables, avec l’acteur de la menace derri\u00e8re le malware LemonDuck qui analyse le m\u00eame port pour se d\u00e9placer lat\u00e9ralement sur le r\u00e9seau.<\/p>\n “La gestion des informations d’identification du compte administrateur afin qu’elles soient vuln\u00e9rables aux attaques par force brute et par dictionnaire comme ci-dessus ou le fait de ne pas modifier p\u00e9riodiquement les informations d’identification peut faire du serveur MS-SQL la cible principale des attaquants”, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n Apr\u00e8s avoir r\u00e9ussi \u00e0 prendre pied, la phase suivante de l’attaque fonctionne en engendrant un shell de commande Windows via MS SQL “sqlservr.exe<\/a>” pour t\u00e9l\u00e9charger la charge utile de l’\u00e9tape suivante qui h\u00e9berge le binaire cod\u00e9 Cobalt Strike sur le syst\u00e8me.<\/p>\n Les attaques aboutissent finalement au d\u00e9codage par le logiciel malveillant de l’ex\u00e9cutable Cobalt Strike, suivi de son injection dans le moteur de construction l\u00e9gitime de Microsoft (MSBuild<\/a>), qui a d\u00e9j\u00e0 \u00e9t\u00e9 abus\u00e9 par des acteurs malveillants pour diffuser sans fichier des chevaux de Troie d’acc\u00e8s \u00e0 distance et des logiciels malveillants voleurs de mots de passe sur des syst\u00e8mes Windows cibl\u00e9s.<\/p>\n De plus, le Cobalt Strike qui est ex\u00e9cut\u00e9 dans MSBuild.exe est livr\u00e9 avec des configurations suppl\u00e9mentaires pour \u00e9chapper \u00e0 la d\u00e9tection des logiciels de s\u00e9curit\u00e9. Il y parvient en chargeant “wwanmm.dll”, une biblioth\u00e8que Windows pour WWan Media Manager, puis en \u00e9crivant et en ex\u00e9cutant la balise dans la zone m\u00e9moire de la DLL.<\/p>\n “Comme la balise qui re\u00e7oit la commande de l’attaquant et ex\u00e9cute le comportement malveillant n’existe pas dans une zone de m\u00e9moire suspecte et fonctionne \u00e0 la place dans le module normal wwanmm.dll, elle peut contourner la d\u00e9tection bas\u00e9e sur la m\u00e9moire”, ont not\u00e9 les chercheurs.<\/p>\n <\/p>\n<\/div>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Le-celebre-gang-de-logiciels-malveillants-TrickBot-ferme-son-infrastructure.png\")
<\/a><\/div>\n![\"Serveurs](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/1645883559_534_Hackers-Backdoor-Serveurs-de-base-de-donnees-Microsoft-SQL-non.jpeg\" "\\"Serveurs")
<\/div>\n![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/1645701002_140_Dridex-Malware-Deploiement-Entropy-Ransomware-sur-des-ordinateurs-pirates.png\")
<\/a><\/div>\n