近日，美國、歐盟和拉美（LATAM）地區(qū)的微軟 SQL（MS SQL）服務器安全狀況不佳，因而被土耳其黑客盯上，成為了其正在進行的以獲取初始訪問權(quán)限為目的的金融活動的攻擊目標。

Securonix 研究人員 Den Iuzvyk、Tim Peck 和 Oleg Kolesnikov 在與《黑客新聞》共享的一份技術(shù)報告中提到：威脅活動一般會以以下兩種方式結(jié)束：要么是出售被入侵主機的訪問權(quán)，要么是最終交付勒索軟件有效載荷。

Securonix 網(wǎng)絡(luò)安全公司將此次土耳其黑客發(fā)起的攻擊行動命名為 "RE#TURGENCE"。此次行動與 2023 年 9 月曝光的名為 DB#JAMMER 的活動如出一轍。都是先對服務器的初始訪問需要進行暴力破解攻擊，然后使用 xp_cmdshell 配置選項在被入侵主機上運行 shell 命令，以便從遠程服務器檢索 PowerShell 腳本打好基礎(chǔ)，然后由該腳本負責獲取經(jīng)過混淆的 Cobalt Strike beacon 有效載荷。最后，黑客會利用后剝削工具包從掛載的網(wǎng)絡(luò)共享中下載 AnyDesk 遠程桌面應用程序，以訪問機器并下載其他工具，如 Mimikatz 以獲取憑據(jù)，以及高級端口掃描器以進行偵查。

橫向移動是通過一種名為 PsExec 的合法系統(tǒng)管理實用程序完成的，它可以在遠程 Windows 主機上執(zhí)行程序。

該攻擊鏈最終以部署 Mimic 勒索軟件而達到高潮，DB#JAMMER 活動中也使用了該勒索軟件的變種。

Kolesnikov告訴《黑客新聞》："這兩個活動中使用的指標和惡意TTP完全不同，因此很有可能是兩個不同的活動。也就是說，雖然最初的滲透方法類似，但 DB#JAMMER 更復雜一些，使用了隧道技術(shù)。相比之下RE#TURGENCE 更有針對性，傾向于使用合法工具以及 AnyDesk 等遠程監(jiān)控和管理工具，試圖混入正?；顒又小?/p>

Securonix表示，它發(fā)現(xiàn)了威脅行為者的操作安全（OPSEC）失誤，由于AnyDesk的剪貼板共享功能已啟用，因此它可以監(jiān)控剪貼板活動。這樣就有機會收集到他們的在線別名 atseverse，該名稱還與 Steam 和土耳其一個名為 SpyHack 的黑客論壇上的個人資料相對應。

研究人員提醒說：一定要避免將關(guān)鍵服務器直接暴露在互聯(lián)網(wǎng)上。在 RE#TURGENCE 的情況下，攻擊者可以直接從主網(wǎng)絡(luò)外部強行進入服務器。