Máy chủ Microsoft SQL (MS SQL) sử dụng Internet dễ bị tổn thương đang bị các tác nhân đe dọa nhắm mục tiêu như một phần của chiến dịch mới nhằm triển khai công cụ mô phỏng kẻ thù Cobalt Strike trên các máy chủ bị xâm phạm.
“Các cuộc tấn công nhắm mục tiêu vào máy chủ MS SQL bao gồm các cuộc tấn công vào môi trường mà lỗ hổng bảo mật của nó chưa được vá, cưỡng bức thô bạo và tấn công từ điển chống lại các máy chủ được quản lý kém”, công ty an ninh mạng AhnLab của Hàn Quốc (ASEC) cho biết trong một báo cáo được công bố hôm thứ Hai .
Cobalt Strike là một khung thử nghiệm thâm nhập thương mại, đầy đủ tính năng cho phép kẻ tấn công triển khai một tác nhân có tên “Beacon” trên máy nạn nhân, cấp cho người điều hành quyền truy cập từ xa vào hệ thống. Mặc dù được quảng cáo là một nền tảng mô phỏng mối đe dọa của đội đỏ, các phiên bản bẻ khóa của phần mềm đã được sử dụng tích cực bởi một loạt các tác nhân đe dọa.
Các cuộc xâm nhập mà ASEC quan sát thấy liên quan đến tác nhân không xác định quét cổng 1433 để kiểm tra các máy chủ MS SQL bị lộ để thực hiện các cuộc tấn công brute force hoặc từ điển đối với tài khoản quản trị viên hệ thống, tức là tài khoản “sa”, để cố gắng đăng nhập.
Điều đó không có nghĩa là các máy chủ không thể truy cập qua internet không dễ bị tấn công, điều gì xảy ra với tác nhân đe dọa đằng sau phần mềm độc hại LemonDuck quét cùng một cổng để di chuyển ngang qua mạng.
Các nhà nghiên cứu cho biết: “Quản lý thông tin đăng nhập tài khoản quản trị viên để chúng dễ bị tấn công từ điển và cưỡng bức như trên hoặc không thay đổi thông tin đăng nhập định kỳ có thể khiến máy chủ MS-SQL trở thành mục tiêu chính của những kẻ tấn công”.
Sau khi giành được chỗ đứng thành công, giai đoạn tiếp theo của cuộc tấn công hoạt động bằng cách tạo ra một trình bao lệnh Windows thông qua quy trình MS SQL “sqlservr.exe” để tải xuống tải trọng ở giai đoạn tiếp theo chứa mã nhị phân Cobalt Strike được mã hóa vào hệ thống.
Các cuộc tấn công cuối cùng lên đến đỉnh điểm với phần mềm độc hại giải mã tệp thi hành Cobalt Strike, tiếp theo là đưa nó vào quy trình Microsoft Build Engine (MSBuild) hợp pháp, vốn đã bị các tác nhân độc hại lạm dụng trước đây để cung cấp vô danh trojan truy cập từ xa và phần mềm độc hại đánh cắp mật khẩu trên Windows được nhắm mục tiêu các hệ thống.
Hơn nữa, Cobalt Strike được thực thi trong MSBuild.exe đi kèm với các cấu hình bổ sung để tránh bị phần mềm bảo mật phát hiện. Nó đạt được điều này bằng cách tải “wwanmm.dll,” một thư viện Windows cho WWan Media Manager, sau đó viết và chạy Beacon trong vùng bộ nhớ của DLL.
Các nhà nghiên cứu lưu ý: “Vì beacon nhận lệnh của kẻ tấn công và thực hiện hành vi độc hại không tồn tại trong vùng bộ nhớ đáng ngờ và thay vào đó hoạt động trong mô-đun bình thường wwanmm.dll, nó có thể bỏ qua phát hiện dựa trên bộ nhớ”.
.
