I ricercatori di sicurezza hanno identificato una nuova campagna che installa i beacon Cobalt Strike su server Microsoft SQL poco protetti.
Molte istanze di MS-SQL Server sono esposte a Internet con password deboli, di cui molti attori delle minacce sanno come abusare, e i ricercatori di sicurezza informatica dell'ASEC Ahn Lab hanno ora trovato qualcuno che fa esattamente questo.
Innanzitutto, scansionano Internet alla ricerca di endpoint con la porta TCP 1433 aperta. Quindi eseguono attacchi di forza bruta contro quei server, provando un numero infinito di password fino a quando una si attacca. La password deve essere relativamente facile da indovinare affinché l'attacco funzioni, hanno aggiunto i ricercatori.
Abuso di software legittimo
Una volta che gli aggressori sono all'interno, è solo una questione di preferenza, cosa installano. A volte sono minatori di criptovalute come LemonDuck, KingMiner o Vollgar, ma la maggior parte delle volte è Cobalt Strike.
Cobalt Strike è un prodotto di test di penetrazione a pagamento, spesso utilizzato in modo improprio da attori malintenzionati per scopi nefasti. Consente la persistenza e il movimento laterale in tutta la rete target. Gli attori delle minacce possono usarlo per eseguire comandi, salvare chiavi, elevare privilegi, scansionare porte e rubare credenziali. Inoltre, il suo shellcode senza file riduce le possibilità che le soluzioni antivirus rilevino l'istanza.
"Poiché il beacon che riceve il comando dall'attaccante ed esegue il comportamento dannoso non esiste in un'area di memoria sospetta e opera invece nel normale modulo wwanmm.dll, può eludere il rilevamento basato sulla memoria", spiegano i ricercatori.
Sebbene il nome degli aggressori rimanga un mistero, AhnLab ha affermato che tutti gli URL di download, così come gli URL del server C2, utilizzati in questi recenti attacchi puntano allo stesso attore della minaccia.
Il modo migliore per stare al sicuro è mantenere una password complessa, che include una serie di lettere maiuscole e minuscole, numeri e simboli. Evitare l'uso di numeri in sequenza (123, 789), date significative (compleanni, per esempio) o nomi che potrebbero essere ottenuti tramite l'ingegneria sociale (nomi di strade, nomi di persone importanti, bambini, animali domestici, azienda, ecc.). ).
Oltre a password complesse, si consiglia agli utenti anche di mantenere il server dietro un firewall, registrare tutto e prestare attenzione alle azioni sospette. Devono inoltre assicurarsi che tutto il software venga aggiornato frequentemente.
Via: BleepingComputer