🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Tin tặc nhắm vào các máy chủ Microsoft SQL trong các cuộc tấn công ransomware

10/01/2024

Một nhóm tin tặc Thổ Nhĩ Kỳ có động cơ tài chính đang nhắm mục tiêu tấn công vào các máy chủ Microsoft SQL (MSSQL) trên toàn thế giới để mã hóa các tệp của nạn nhân bằng phần mềm ransomware Mimic (N3ww4v3).

Chiến dịch tấn công đang diễn ra này được theo dõi với tên RE#TURGENCE và nhắm vào các mục tiêu ở Liên minh Châu Âu, Mỹ và Châu Mỹ Latinh.

Nhóm nghiên cứu mối đe dọa Securonix, người phát hiện ra các cuộc tấn công, cho biết: “Chiến dịch này dường như kết thúc theo một trong hai cách, bán quyền truy cập hoặc lây nhiễm phần mềm ransomware vào máy chủ bị xâm nhập”.

“Dòng thời gian của các sự kiện tấn công là khoảng một tháng kể từ lần truy cập đầu tiên cho đến khi triển khai ransomware MIMIC trên máy nạn nhân”.

Máy chủ MSSQL có cấu hình không an toàn

Các tác nhân đe dọa đã xâm phạm các máy chủ cơ sở dữ liệu MSSQL được đặt công khai trực tuyến thông qua các cuộc tấn công dò quét mật khẩu. Sau đó, chúng sử dụng xp_cmdshell để tạo một Windows shell có cùng quyền với tài khoản dịch vụ SQL Server.

xp_cmdshell bị tắt theo mặc định vì các tác nhân độc hại thường sử dụng nó để leo thang đặc quyền và việc sử dụng nó thường sẽ kích hoạt các công cụ kiểm tra bảo mật.

Trong giai đoạn tiếp theo, những kẻ tấn công đã triển khai một payload (phần mềm/tệp độc hại) Cobalt Strike đã được obfuscated bằng cách sử dụng một chuỗi các tập lệnh PowerShell và các kỹ thuật reflection trong bộ nhớ để chèn nó vào tiến trình có sẵn SndVol.exe của Windows.

Ngoài ra, kẻ tấn công cũng đã tải xuống và khởi chạy ứng dụng điều khiển máy tính từ xa AnyDesk, sau đó bắt đầu thu thập thông tin xác thực dạng bản rõ được trích xuất bằng Mimikatz.

Sau khi quét mạng cục bộ và Windows domain bằng công cụ Advanced Port Scanner, chúng đã tấn công các thiết bị khác trên mạng và sử dụng thông tin xác thực bị đánh cắp trước đó để xâm phạm hệ thống domain controller.

Sau đó, họ triển khai các payload ransomware Mimic thông qua AnyDesk, tìm kiếm các tệp để mã hóa bằng ứng dụng hợp pháp Everything, một kỹ thuật được phát hiện lần đầu vào tháng 1 năm 2023.

Securonix cho biết: “Công cụ Mimic được phát hiện là 'red25.exe', đã tải về tất cả các tệp cần thiết để payload ransomware chính hoàn thành các mục tiêu của nó”.

"Sau khi quá trình mã hóa hoàn tất, tiến trình red.exe sẽ để lại một thông báo đòi tiền chuộc được lưu trên ổ C:\ của nạn nhân dưới dạng '—IMPORTANT—NOTICE—.txt'"

Email được sử dụng trong thông báo đòi tiền chuộc ([email protected]) cũng cho thấy sự liên kết của nhóm đe dọa này với các cuộc tấn công ransomware Phobos. Phobos xuất hiện lần đầu vào năm 2018 dưới dạng dịch vụ ransomware có nguồn gốc từ họ ransomware Crysis.

Để giảm thiểu nguy cơ bị tấn công, các quản trị viên nên kiểm tra lại các cấu hình cài đặt cho máy chủ MSSQL của mình và thay đổi các cài đặt kém an toàn, thiết lập hạn chế truy cập chặt chẽ vào máy chủ, đồng thời triển khai các biện pháp bảo mật bổ sung để kịp thời phát hiện và ngăn chặn các cuộc tấn công.

Nguồn: bleepingcomputer.com.

scrolltop