Servidores Microsoft SQL tornam-se alvos de agentes de ameaças, que instalam os beacons Cobalt Strike nos servidores vulneráveis para obter uma base na rede de destino. Pesquisadores da ASEC da Ahn Lab detectaram essa nova onda de ataques para implantar cargas maliciosas nesses servidores.
Os agentes de ameaças por trás da campanha têm como alvo os Microsoft SQL Servers mal protegidos expostos online
A cadeia de ataque inicia a verificação de agentes de ameaças em busca de servidores MS-SQL que tenham uma porta TCP 1433 aberta. Em seguida, os invasores realizam ataques na tentativa de quebrar a senha.
Ao obter acesso ao servidor, os invasores foram observados implantando mineradores de criptomoedas como Lemon Duck , KingMiner e Vollgar, aponta o SecurityAffairs. Os atacantes obtêm persistência instalando a ferramenta de pós-exploração Cobalt Strike e a utilizam para movimentação lateral.
“Se o invasor conseguir fazer login na conta de administrador por meio desses processos, ele usará vários métodos, incluindo o comando xp _ cmdshell, para executar o comando no sistema infectado.” aponta análise publicada pela ASEC da Ahn Lab.
Ainda segundo a análise, o “Cobalt Strike que foi descoberto recentemente foi baixado através de cmd . exe e powershell . exe através do processo MS-SQL. O sinalizador Cobalt Strike é injetado no processo legítimo do Windows wwanmm.dll, ele aguarda os comandos dos invasores.
Execução do Cobalt Strike
De acordo com a análise, o Cobalt Strike que é executado no MSBuild.exe tem uma opção de configurações adicionais para ignorar a detecção de produtos de segurança, onde ele carrega a dll normal wwanmm.dll, então grava e executa um beacon na área de memória da DLL.
“Como o beacon que recebe o comando do invasor e executa o comportamento malicioso não existe em uma área de memória suspeita e, em vez disso, opera no módulo normal wwanmm.dll, ele pode ignorar a detecção baseada em memória.”
Não está claro como os invasores instalaram o malware no MS-SQL comprometido
Embora não seja certo em qual método o invasor dominou o MS-SQL e instalou o malware, os especialistas acreditam que o sistema visado gerenciou inadequadamente as credenciais da conta. Há indicadores de comprometimento publicados pela AhnLab para esses ataques, incluindo URLs de download, hashes MD5 para os beacons e URLs do servidor C2.
A campanha mirando os servidores Microsoft SQL pode render muitas dores de cabeça ainda. Esperamos que os reforços de segurança sejam lançados, para impedir ainda mais a disseminação de agentes maliciosos utilizando esses servidores.
Via: SecurityAffairs