Türk bilgisayar korsanları dünya genelinde güvenliği düşük MS SQL sunucularından yararlanıyor
ABD, Avrupa Birliği ve Latin Amerika (Latin Amerika) bölgelerinde, güvenliği düşük Microsoft SQL (MS SQL) sunucuları, ilk erişim elde etmek için devam eden finansal güdümlü bir kampanyanın parçası olarak hedefleniyor.
Securonix araştırmacıları Den Iuzvyk, Tim Peck ve Oleg Kolesnikov, paylaşılan teknik bir raporda, "Analiz edilen tehdit kampanyası, güvenliği ihlal edilmiş ana bilgisayara 'erişim' satışı veya fidye yazılımı yüklerinin nihai teslimi olmak üzere iki yoldan biriyle sona eriyor gibi görünüyor" dedi.
Türkiye kökenli aktörlerle bağlantılı olan kampanya, siber güvenlik firması tarafından RE#TURGENCE olarak kodlandı.
Sunuculara ilk erişim, kaba kuvvet saldırılarının gerçekleştirilmesini ve ardından güvenliği ihlal edilmiş ana bilgisayarda kabuk komutlarını çalıştırmak için xp_cmdshell yapılandırma seçeneğinin kullanılmasını gerektirir. Bu etkinlik, Eylül 2023'te ortaya çıkan DB#JAMMER adlı önceki bir kampanyanın etkinliğini yansıtıyor.
Bu aşama, gizlenmiş bir Cobalt Strike işaret yükünü getirmekten sorumlu olan uzak bir sunucudan PowerShell betiğinin alınmasının yolunu açar.
Exploitation sonrası araç seti daha sonra makineye erişmek ve kimlik bilgilerini toplamak için Mimikatz ve keşif yapmak için Advanced Port Scanner gibi ek araçlar indirmek için bağlı bir ağ paylaşımından AnyDesk uzak masaüstü uygulamasını indirmek için kullanılır.
Yanal hareket, programları uzak Windows ana bilgisayarlarında çalıştırabilen PsExec adlı meşru bir sistem yönetim yardımcı programı aracılığıyla gerçekleştirilir.
Bu saldırı zinciri, nihayetinde, bir varyantı DB#JAMMER kampanyasında da kullanılan Mimic fidye yazılımının konuşlandırılmasıyla sonuçlanıyor.
Kolesnikov, verdiği demeçte, "İki kampanyada kullanılan göstergeler ve kötü niyetli TTP'ler tamamen farklı, bu yüzden bunların iki farklı kampanya olma ihtimali çok yüksek" dedi.
"Daha spesifik olarak, ilk sızma yöntemleri benzer olsa da, DB # JAMMER biraz daha karmaşıktı ve tünelleme kullanıyordu. RE#TURGENCE daha hedeflidir ve normal faaliyetlere uyum sağlamak için AnyDesk gibi meşru araçları ve uzaktan izleme ve yönetimi kullanma eğilimindedir."
Securonix, AnyDesk'in pano paylaşım özelliğinin etkinleştirilmesi nedeniyle tehdit aktörleri tarafından pano etkinliğini izlemesine izin veren bir operasyonel güvenlik (OPSEC) hatasını ortaya çıkardığını söyledi.
Bu, onların Türk kökenlerini ve Steam'deki bir profile ve SpyHack adlı bir Türk hack forumuna karşılık gelen çevrimiçi takma adları atseverse'yi toplamayı mümkün kıldı.
Araştırmacılar, "Kritik sunucuları doğrudan internete maruz bırakmaktan her zaman kaçının" diye uyardı. "RE#TURGENCE vakasında, saldırganlar ana ağın dışından sunucuya doğrudan kaba kuvvetle girebildiler."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı