Hackers backdoor niet-gepatchte Microsoft SQL-databaseservers met Cobalt Strike

Serveurs de base de données Microsoft SQL Nachrichten

Kwetsbare op internet gerichte Microsoft SQL (MS SQL)-servers worden het doelwit van bedreigingsactoren als onderdeel van een nieuwe campagne om de Cobalt Strike-simulatietool voor tegenstanders in te zetten op gecompromitteerde hosts.

“Aanvallen die gericht zijn op MS SQL-servers omvatten aanvallen op de omgeving waar de kwetsbaarheid niet is gepatcht, brute forcing en woordenboek aanval tegen slecht beheerde servers”, het Zuid-Koreaanse cyberbeveiligingsbedrijf AhnLab Security Emergency Response Center (ASEC) zei in een maandag gepubliceerd rapport.

Cobalt Strike is een commerciële, volledig uitgeruste kader voor penetratietests waarmee een aanvaller een agent met de naam “Beacon” op de computer van het slachtoffer kan inzetten, waardoor de operator externe toegang tot het systeem krijgt. Hoewel gefactureerd als een Red Team Threat Simulation-platform, zijn gekraakte versies van de software actief gebruikt door een breed scala aan bedreigingsactoren.

Door ASEC waargenomen inbreuken hebben betrekking op de niet-geïdentificeerde actor-scanpoort 1433 om te controleren op blootgestelde MS SQL-servers om brute force- of woordenboekaanvallen uit te voeren tegen de systeembeheerdersaccount, dat wil zeggen, “sa”-accountom te proberen in te loggen.

Microsoft SQL-databaseservers

Dat wil niet zeggen dat servers die niet toegankelijk zijn via internet, niet kwetsbaar zijn, aangezien de bedreigingsacteur achter LemonDuck-malware dezelfde poort scant om lateraal over het netwerk te bewegen.

“Het beheren van inloggegevens van beheerders zodat ze kwetsbaar zijn voor brute force en woordenboekaanvallen zoals hierboven of het niet periodiek wijzigen van de inloggegevens kan de MS-SQL-server het belangrijkste doelwit van aanvallers maken”, aldus de onderzoekers.

Nadat met succes voet aan de grond is gekomen, werkt de volgende fase van de aanval door een Windows-opdrachtshell te spawnen via de MS SQL “sqlservr.exe” om de next-stage payload met daarin het gecodeerde Cobalt Strike-binaire bestand naar het systeem te downloaden.

De aanvallen culmineren uiteindelijk in de malware die het uitvoerbare bestand Cobalt Strike decodeert, gevolgd door het injecteren in de legitieme Microsoft Build Engine (MSBuild) proces, dat eerder is misbruikt door kwaadwillende actoren om trojaanse paarden voor externe toegang en wachtwoordstelende malware fileloos te leveren op gerichte Windows-systemen.

Bovendien wordt de Cobalt Strike die wordt uitgevoerd in MSBuild.exe geleverd met extra configuraties om detectie van beveiligingssoftware te omzeilen. Het bereikt dit door “wwanmm.dll”, een Windows-bibliotheek voor WWan Media Manager, te laden en vervolgens het Beacon in het geheugengebied van de DLL te schrijven en uit te voeren.

“Omdat het baken dat het commando van de aanvaller ontvangt en het kwaadaardige gedrag uitvoert niet in een verdacht geheugengebied bestaat en in plaats daarvan in de normale module wwanmm.dll werkt, kan het op geheugen gebaseerde detectie omzeilen”, merkten de onderzoekers op.

David
Rate author
Hackarizona