Ouvidoria 0800 718 2048 | SAC 0800 200 6070 | Sinistros 0800 202 2042

Manchetes do Mercado

10 de janeiro de 2024

Cibercriminosos usam táticas avançadas para atacar servidores MS SQL

Compartilhe

Servidores Microsoft SQL mal configurados estão sendo alvo de uma campanha motivada financeiramente para ganhar acesso inicial em regiões dos EUA, União Europeia e América Latina. A campanha, vinculada a atores de origem turca, foi nomeada como RE#TURGENCE. O acesso inicial aos servidores envolve a realização de ataques de força bruta, seguidos pelo uso da opção de configuração xp_cmdshell para executar comandos shell no host comprometido.

Essa atividade é semelhante a uma campanha anterior chamada DB#JAMMER, que veio à tona em setembro de 2023. Esta etapa abre caminho para a recuperação de um script PowerShell de um servidor remoto, responsável por buscar um payload ofuscado do Cobalt Strike beacon.

A ferramenta de pós-exploração é então usada para baixar o aplicativo de área de trabalho remota AnyDesk de um compartilhamento de rede montado para acessar a máquina e baixar ferramentas adicionais, como Mimikatz para colher credenciais e Advanced Port Scanner para realizar reconhecimento. O movimento lateral é realizado por meio de uma utilidade legítima de administração de sistemas chamada PsExec, que pode executar programas em hosts Windows remotos.

Fonte: BoletimSec

Publicado em: