近日，Securonix威脅研究團(tuán)隊(duì)發(fā)現(xiàn)，一群出于經(jīng)濟(jì)動(dòng)機(jī)的土耳其黑客正在攻擊全球范圍內(nèi)的微軟SQL(MSSQL)服務(wù)器，并使用Mimic(N3ww4v3)勒索軟件加密受害者的文件。

這些正在進(jìn)行的攻擊代號(hào)為RE#TURGENCE，主要針對歐盟、美國和拉丁美洲的目標(biāo)。

發(fā)現(xiàn)該活動(dòng)的Securonix威脅研究團(tuán)隊(duì)表示：“分析顯示，此類攻擊活動(dòng)的結(jié)束方式主要有兩種：要么出售受感染主機(jī)的訪問權(quán)，要么最終交付勒索軟件有效負(fù)載?！?/p>

“從初始訪問到部署Mimic勒索軟件，事件發(fā)生的時(shí)間周期大約為一個(gè)月。”

針對目標(biāo)：配置不安全的微軟SQL服務(wù)器

據(jù)報(bào)道，攻擊者主要通過暴力攻擊入侵在線暴露的，配置不安全的MSSQL數(shù)據(jù)庫服務(wù)器。然后使用系統(tǒng)存儲(chǔ)的xp_cmdshell進(jìn)程生成一個(gè)與SQL Server服務(wù)帳戶具有相同安全權(quán)限的Windows命令shell。

xp_cmdshell默認(rèn)處于禁用狀態(tài)，因?yàn)閻阂庑袨檎呓?jīng)常使用它來提升權(quán)限，而且啟動(dòng)該進(jìn)程通常會(huì)觸發(fā)安全審核工具。

在下一階段，攻擊者使用一系列PowerShell腳本和內(nèi)存反射技術(shù)部署高度混淆的CobaltStrike有效負(fù)載，最終目標(biāo)是將其注入到Windows原生進(jìn)程SndVol.exe中。

攻擊者還下載并啟動(dòng)AnyDesk遠(yuǎn)程桌面應(yīng)用程序作為服務(wù)，然后開始收集使用Mimikatz提取的明文憑據(jù)。

使用高級(jí)端口掃描程序掃描本地網(wǎng)絡(luò)和Windows域后，攻擊將蔓延到網(wǎng)絡(luò)上的其他設(shè)備，并使用之前竊取的憑據(jù)入侵域控制器。

通過AnyDesk投放勒索軟件

然后，攻擊者通過AnyDesk將Mimic勒索軟件有效載荷部署為自解壓存檔，使用合法的Everything應(yīng)用程序搜索要加密的文件，該技術(shù)于2023年1月首次被安全人員觀察到。

“Mimic將刪除用于輔助加密過程的Everything二進(jìn)制文件。在我們的案例中，Mimic投放程序‘red25.exe’刪除了所有必要的文件，以便主要勒索軟件有效負(fù)載能完成其目標(biāo)，”Securonix表示。

“加密過程完成后，red.exe進(jìn)程會(huì)發(fā)送加密/付款通知，該通知以“—IMPORTANT—NOTICE—.txt”的文本格式保存在受害者的C盤上?！?/p>

安全媒體BleepingComputer發(fā)現(xiàn)，Mimic勒索軟件通知中使用的電子郵件(datenklause0@gmail.com)與Phobos勒索軟件存在關(guān)聯(lián)。Phobos于2018年首次出現(xiàn)，是源自Crysis勒索軟件家族的勒索軟件即服務(wù)（RaaS）。

Securonix去年還曝光了另一個(gè)針對MSSQL服務(wù)器的活動(dòng)（跟蹤代號(hào)為DB#JAMMER），使用相同的暴力初始訪問攻擊并部署FreeWorld勒索軟件（Mimic勒索軟件的別名）。