MSSQL数据库遭受FreeWorld勒索软件的攻击

被称为DB#JAMMER的复杂攻击,运行shell命令来削弱防御,并部署工具来在主机上建立持久性。
MSSQL数据库遭受FreeWorld勒索软件的攻击

一场针对微软SQL服务器数据库的网络攻击活动被发现,利用暴力破解的方式传播勒索软件和Cobalt Strike恶意载荷

根据Securonix的调查,这场攻击活动的典型攻击流程是先通过暴力破解的方式入侵暴露在互联网上的微软SQL服务器(MSSQL)数据库。在初步渗透后,攻击者扩大了在目标系统中的立足点,并利用MSSQL作为跳板,发起多种不同的恶意载荷,包括远程访问木马(RAT)和一种新的Mimic勒索软件变种,名为“FreeWorld”,因为它在二进制文件名、勒索说明文件(FreeWorld-Contact.txt)和勒索软件扩展名(.FreeWorldEncryption)中都包含了“FreeWorld”这个词。

攻击者还建立了一个远程SMB共享,用来挂载一个存放他们工具的目录,这些工具包括Cobalt Strike命令和控制代理(srv.exe)和AnyDesk;并且,他们部署了一个网络端口扫描器和Mimikatz,用于窃取凭证和在网络中横向移动。最后,威胁行为者还进行了一些配置变更,从用户创建和修改到注册表变更,以削弱防御。

Securonix将这场攻击活动称为“DB#JAMMER”,并表示它在攻击者使用的工具基础设施和恶意载荷方面表现出了“高度的复杂性”,以及快速的执行能力。

Securonix的研究人员在报告中指出:“这些工具包括枚举软件、RAT恶意载荷、利用和窃取凭证软件,以及最终的勒索软件恶意载荷。”

Securonix的威胁研究和网络安全副总裁Oleg Kolesnikov说:“这不是我们经常看到的情况,而且真正让这个攻击流程与众不同的是威胁行为者使用的广泛的工具和基础设施。”

Kolesnikov指出,这场攻击活动仍在进行中,但他认为它目前是一场相对有针对性的攻击活动。

他补充说:“我们目前阶段的评估是风险等级是中等到高等,因为有一些迹象表明攻击者使用的渗透向量不仅限于MSSQL。”

这个最新威胁的发现正值勒索软件在2023年有望造成更多组织的受害之际,攻击者迅速升级攻击,在防御者甚至能够检测到感染之前造成广泛的破坏。

保护MSSQL的安全

Kolesnikov建议企业通过限制MSSQL服务的互联网暴露,降低其受攻击的面。如果可行的话,还应该加强受害MSSQL数据库服务器的外部连接和账户凭证的安全性,因为研究人员警告,这些是攻击者经常重复攻击的目标。AhnLab的研究人员观察到一个案例,一个被入侵的MSSQL服务器的凭证被多个威胁行为者利用,留下了各种勒索软件、Remcos RAT和挖矿软件的痕迹。

他还说:“此外,安全团队必须了解并实施与攻击进程和恶意威胁行为者利用的行为相关的防御措施”,包括限制使用xp_cmdshell作为他们的标准操作程序的一部分。报告还建议组织监控常见的恶意软件暂存目录,特别是“C:\Windows\Temp”,并部署额外的进程级日志记录,如Sysmon和PowerShell日志记录,以提高日志检测覆盖率。

根据Palo Alto的Unit 42在7月份发布的一份报告,针对易受攻击的SQL服务器的恶意活动与2022年相比增长了174%。

推荐阅读:

网络犯罪分子联手升级“SapphireStealer”恶意软件

暗网越来越大,监视它很有必要

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20