最近,Securonix威胁研究团队发现,一群出于经济动机的土耳其黑客正在攻击全球的Microsoft SQL(MSSQL)服务器,并使用Mimic(N3WW4v3)勒索软件加密受害者的文件。
这些正在进行的攻击代号为RE Turkey,主要针对欧盟、美国和拉丁美洲的目标。
发现该活动的Securonix威胁研究团队表示:“分析表明,此类攻击活动有两种主要方式可以结束:访问受感染的主机,或最终交付勒索软件有效载荷。 ”
从最初访问到部署 Mimic Ransomware,事件发生的时间段约为一个月。 ”
目标:配置不安全的 Microsoft SQL 服务器
据介绍,攻击者主要通过暴力破解的方式入侵暴露的、不安全的MSSQL数据库服务器。 然后,使用系统存储的 XP cmdshell 进程生成具有与 SQL Server 服务帐户相同的安全权限的 Windows 命令 shell。
默认情况下,XP cmdshell 处于禁用状态,因为恶意行为者经常使用它来提升权限,并且启动该过程通常会触发安全审核工具。
在下一阶段,攻击者使用一系列 PowerShell 脚本和内存反射技术部署高度混淆的 CobaltStrike 有效负载,最终目标是将其注入 Windows 原生进程 SNDvolexe的。
攻击者还将AnyDesk远程桌面应用程序作为服务启动,然后开始收集使用Mimikatz提取的凭据。
使用高级端口扫描程序扫描本地网络和 Windows 域后,攻击会传播到网络上的其他设备,并使用以前被盗的凭据破坏域控制器。
勒索软件通过Anydesk丢弃
然后,攻击者通过Anydesk将Mimic勒索软件有效载荷部署为自解压存档,使用合法的Everything应用程序搜索要加密的文件,安全人员于2024年1月首次观察到这种技术。
Mimic 将删除用于协助加密过程的 Everything 二进制文件。 在我们的例子中,模仿者会丢弃程序“red25”exe 删除了所有必要的文件,以便主要的勒索软件有效载荷能够实现其目标,“Securonix 说。
加密过程完成后,红色exe 进程发送以“—important—notice— 开头的加密付款通知“txt”的文本格式保存在受害者的 C 盘上。 ”
安全性 **哔哔计算机发现 Mimic 勒索软件通知中使用的电子邮件 ([email protected]) 与 Phobos Ransomware 相关联。Phobos 于 2018 年首次出现,是一种源自 Crysis 勒索软件家族的勒索软件即服务 (RaaS)。
Securonix 去年还发起了另一场针对 MSSQL 服务器的活动(由代号 DB Jammer 跟踪),使用相同的暴力破解初始访问攻击并部署 Freeworld 勒索软件(Mimic 勒索软件的别名)。
参考链接: