Tin tặc nhắm vào các máy chủ Microsoft SQL trong các cuộc tấn công ransomware (Bị trùng tin dưới)

15:59 | 15/01/2024

Một nhóm tin tặc Thổ Nhĩ Kỳ có động cơ tài chính đang nhắm mục tiêu tấn công vào các máy chủ Microsoft SQL (MSSQL) trên toàn thế giới để mã hóa các tệp của nạn nhân bằng phần mềm ransomware Mimic (N3ww4v3).

Các cuộc tấn công này được theo dõi với tên RE#TURGENCE và nhắm vào các mục tiêu ở Liên minh Châu Âu, Mỹ và Châu Mỹ Latinh.

Nhóm nghiên cứu mối đe dọa Securonix - nhóm phát hiện ra các cuộc tấn công, cho biết: “Chiến dịch này dường như kết thúc theo một trong hai cách, bán quyền truy cập hoặc lây nhiễm phần mềm ransomware vào máy chủ bị xâm nhập”.

“Thời gian tấn công là khoảng một tháng kể từ lần truy cập đầu tiên cho đến khi triển khai ransomware MIMIC trên máy nạn nhân”.

Máy chủ MSSQL có cấu hình không an toàn

Các tác nhân đe dọa đã xâm phạm các máy chủ cơ sở dữ liệu MSSQL được đặt công khai trực tuyến thông qua các cuộc tấn công dò quét mật khẩu. Sau đó, chúng sử dụng xp_cmdshell để tạo một Windows shell có cùng quyền với tài khoản dịch vụ SQL Server.

xp_cmdshell bị tắt theo mặc định vì các tác nhân độc hại thường sử dụng nó để nâng cao đặc quyền và việc sử dụng nó thường sẽ kích hoạt các công cụ kiểm tra bảo mật.

Trong giai đoạn tiếp theo, những kẻ tấn công đã triển khai một payload Cobalt Strike đã được xáo trộn bằng cách sử dụng một chuỗi các tập lệnh PowerShell và các kỹ thuật reflection trong bộ nhớ để chèn nó vào tiến trình có sẵn SndVol.exe của Windows.

Ngoài ra, tin tặc cũng đã tải xuống và khởi chạy ứng dụng điều khiển máy tính từ xa AnyDesk, sau đó bắt đầu thu thập thông tin xác thực dạng bản rõ được trích xuất bằng Mimikatz.

Sau khi quét mạng cục bộ và Windows domain bằng công cụ Advanced Port Scanner, chúng đã tấn công các thiết bị khác trên mạng và sử dụng thông tin xác thực bị đánh cắp trước đó để xâm phạm hệ thống domain controller.

Thông báo tiền chuộc (Securonix)

Ứng dụng điều khiển máy tính từ xa AnyDesk

Tin tặc triển khai các payload ransomware Mimic thông qua AnyDesk, tìm kiếm các tệp để mã hóa bằng ứng dụng hợp pháp Everything, một kỹ thuật được phát hiện lần đầu vào tháng 1 năm 2023.

Securonix cho biết: “Mimic sẽ loại bỏ các tệp nhị phân, mọi thứ được sử dụng để hỗ trợ quá trình mã hóa. Công cụ Mimic trong trường hợp của chúng tôi là 'red25.exe', đã tải về tất cả các tệp cần thiết để payload ransomware chính hoàn thành các mục tiêu của nó”.

"Sau khi quá trình mã hóa hoàn tất, tiến trình red.exe sẽ để lại một thông báo đòi tiền chuộc được lưu trên ổ C:\ của nạn nhân dưới dạng '—IMPORTANT—NOTICE—.txt'"

Email được sử dụng trong thông báo đòi tiền chuộc (datenklause0@gmail.com) cũng cho thấy sự liên kết của nhóm đe dọa này với các cuộc tấn công ransomware Phobos. Phobos xuất hiện lần đầu vào năm 2018 dưới dạng dịch vụ ransomware có nguồn gốc từ họ ransomware Crysis.

Securonix đã phát hiện một chiến dịch khác nhắm mục tiêu vào các máy chủ MSSQL vào năm ngoái (được theo dõi với tên DB#JAMMER) bằng cách sử dụng cùng một vectơ tấn công truy cập ban đầu bằng vũ lực và triển khai ransomware FreeWorld (tên gọi khác của Mimic ransomware).

https://www.bleepingcomputer.com/news/security/hackers-target-microsoft-sql-servers-in-mimic-ransomware-attacks/