Οι αναλυτές απειλών παρατήρησαν ένα νέο κύμα επιθέσεων εγκαθιστώντας beacons Cobalt Strike σε ευάλωτους διακομιστές Microsoft SQL, οδηγώντας σε βαθύτερη διείσδυση και επακόλουθες μολύνσεις κακόβουλου λογισμικού.
Ο MS-SQL Server είναι ένα δημοφιλές σύστημα διαχείρισης βάσεων δεδομένων που τροφοδοτεί μεγάλες διαδικτυακές εφαρμογές σε μικρές μικροεφαρμογές ενός συστήματος.
Ωστόσο, πολλές από αυτές τις αναπτύξεις δεν είναι επαρκώς ασφαλισμένες, καθώς εκτίθενται δημόσια στο Διαδίκτυο με αδύναμους κωδικούς πρόσβασης, και σύμφωνα με μια έκθεση της ASEC της Ahn Lab, ένας άγνωστος παράγοντας απειλής το εκμεταλλεύεται αυτό.
Στόχευση MS-SQL με Cobalt Strike
Οι επιθέσεις ξεκινούν με παράγοντες απειλής που σαρώνουν για διακομιστές με ανοιχτή θύρα TCP 1433, οι οποίοι είναι πιθανώς διακομιστές MS-SQL που αντιμετωπίζουν το κοινό. Στη συνέχεια, ο εισβολέας πραγματοποιεί επιθέσεις brute-forcing και λεξικών για να σπάσει τον κωδικό πρόσβασης. Για να λειτουργήσει η επίθεση με οποιαδήποτε μέθοδο, ο κωδικός πρόσβασης στόχος πρέπει να είναι αδύναμος.
Μόλις ο εισβολέας αποκτήσει πρόσβαση στον λογαριασμό διαχειριστή και συνδεθεί στον διακομιστή, οι ερευνητές του ASEC τον είδαν να ρίχνει coin-miners όπως το Lemon Duck, το KingMiner και το Vollgar. Επιπλέον, ο παράγοντας απειλής κλείνει τον διακομιστή με το Cobalt Strike για να εδραιώσει την επιμονή και να εκτελέσει πλευρική κίνηση.
Το Cobalt Strike γίνεται λήψη μέσω μιας διαδικασίας κελύφους εντολών (cmd.exe και powershell.exe) στο παραβιασμένο MS-SQL και εγχέεται και εκτελείται στο MSBuild.exe για αποφυγή εντοπισμού.