.png)
Türk bilgisayar korsanları dünya genelinde güvenliği düşük MS SQL sunucularından yararlanıyor
ABD, Avrupa Birliği ve Latin Amerika (Latin Amerika) bölgelerinde, güvenliği düşük Microsoft SQL (MS SQL) sunucuları, ilk erişim elde etmek için devam eden finansal güdümlü bir kampanyanın parçası olarak hedefleniyor.
Securonix araştırmacıları Den Iuzvyk, Tim Peck ve Oleg Kolesnikov, paylaşılan teknik bir raporda, "Analiz edilen tehdit kampanyası, güvenliği ihlal edilmiş ana bilgisayara 'erişim' satışı veya fidye yazılımı yüklerinin nihai teslimi olmak üzere iki yoldan biriyle sona eriyor gibi görünüyor" dedi.
Türkiye kökenli aktörlerle bağlantılı olan kampanya, siber güvenlik firması tarafından RE#TURGENCE olarak kodlandı.
Sunuculara ilk erişim, kaba kuvvet saldırılarının gerçekleştirilmesini ve ardından güvenliği ihlal edilmiş ana bilgisayarda kabuk komutlarını çalıştırmak için xp_cmdshell yapılandırma seçeneğinin kullanılmasını gerektirir. Bu etkinlik, Eylül 2023'te ortaya çıkan DB#JAMMER adlı önceki bir kampanyanın etkinliğini yansıtıyor.
Bu aşama, gizlenmiş bir Cobalt Strike işaret yükünü getirmekten sorumlu olan uzak bir sunucudan PowerShell betiğinin alınmasının yolunu açar.
Exploitation sonrası araç seti daha sonra makineye erişmek ve kimlik bilgilerini toplamak için Mimikatz ve keşif yapmak için Advanced Port Scanner gibi ek araçlar indirmek için bağlı bir ağ paylaşımından AnyDesk uzak masaüstü uygulamasını indirmek için kullanılır.
.png)
Yanal hareket, programları uzak Windows ana bilgisayarlarında çalıştırabilen PsExec adlı meşru bir sistem yönetim yardımcı programı aracılığıyla gerçekleştirilir.
Bu saldırı zinciri, nihayetinde, bir varyantı DB#JAMMER kampanyasında da kullanılan Mimic fidye yazılımının konuşlandırılmasıyla sonuçlanıyor.
Kolesnikov, verdiği demeçte, "İki kampanyada kullanılan göstergeler ve kötü niyetli TTP'ler tamamen farklı, bu yüzden bunların iki farklı kampanya olma ihtimali çok yüksek" dedi.
"Daha spesifik olarak, ilk sızma yöntemleri benzer olsa da, DB # JAMMER biraz daha karmaşıktı ve tünelleme kullanıyordu. RE#TURGENCE daha hedeflidir ve normal faaliyetlere uyum sağlamak için AnyDesk gibi meşru araçları ve uzaktan izleme ve yönetimi kullanma eğilimindedir."
Securonix, AnyDesk'in pano paylaşım özelliğinin etkinleştirilmesi nedeniyle tehdit aktörleri tarafından pano etkinliğini izlemesine izin veren bir operasyonel güvenlik (OPSEC) hatasını ortaya çıkardığını söyledi.
Bu, onların Türk kökenlerini ve Steam'deki bir profile ve SpyHack adlı bir Türk hack forumuna karşılık gelen çevrimiçi takma adları atseverse'yi toplamayı mümkün kıldı.
Araştırmacılar, "Kritik sunucuları doğrudan internete maruz bırakmaktan her zaman kaçının" diye uyardı. "RE#TURGENCE vakasında, saldırganlar ana ağın dışından sunucuya doğrudan kaba kuvvetle girebildiler."
Benzer Haberler
Microsoft, zararlı içerik oluşturmak için Azure AI'den yararlanan bilgisayar korsanlığı grubuna dava açtı
RedDelta, Casusluk Kampanyalarında Moğolistan ve Tayvan'ı Hedef Almak için PlugX Kötü Amaçlı Yazılım Dağıtıyor
MirrorFace, Japonya'ya Yönelik Çok Yıllı Siber Saldırılarda ANEL ve NOOPDOOR'dan Yararlanıyor
Yeni EAGERBEE Varyantı, Gelişmiş Arka Kapı Yeteneklerine Sahip İSS'leri ve Hükümetleri Hedefliyor
CISA: Hazine Siber Saldırısından Daha Geniş Federal Etki Yok, Soruşturma Devam Ediyor
FireScam Android Kötü Amaçlı Yazılımı, Verileri Çalmak ve Cihazları Kontrol Etmek İçin Telegram Premium Gibi Görünüyor
Düzinelerce Chrome Uzantısı Hacklendi ve Milyonlarca Kullanıcıyı Veri Hırsızlığına Maruz Bıraktı
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı