Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Piratas informáticos turcos hackean servidores MS SQL mal protegidos en todo el mundo


Piratas informáticos con con origen en Turquía están llevando a cabo una campaña en la que atacan a servidores Microsoft SQL (MS SQL) que no están convenientemente protegidos.




Los investigadores de la firma Securonix, Den Iuzvyk, Tim Peck y Oleg Kolesnikov, han informado sobre esta operación, revelando que su conclusión puede derivar en dos caminos: vendiendo acceso al host comprometido o bien entregando cargas útiles de ransomware.

La campaña, bautizada por la empresa de ciberseguridad como RE#TURGENCE, tiene motivaciones financieras para obtener acceso inicial y está afectando a regiones como EE.UU., la Unión Europea y Latinoamérica. 



El acceso inicial a los servidores supone hacer ataques de fuerza bruta, seguidos del uso de la opción de configuración xp_cmdshell para ejecutar comandos de shell en el host comprometido. Esta actividad refleja la de una campaña anterior denominada DB#JAMMER que salió a la luz en septiembre de 2023.

Dicha etapa allana el camino para la recuperación de un script de PowerShell de un servidor remoto que es responsable de recuperar una carga útil ofuscada de la baliza Cobalt Strike.

Después, el kit de herramientas posterior a la explotación se utiliza para descargar la aplicación de escritorio remoto AnyDesk desde un recurso compartido de red montado para acceder a la máquina e instalar herramientas adicionales como Mimikatz para recopilar credenciales y Advanced Port Scanner para realizar reconocimiento.

La cadena de ataques, en última instancia, concluye con la implementación del ransomware Mimic, el cual también se usó en la campaña DB#JAMMER.


¿Misma campaña o campañas diferentes?

Oleg Kolesnikov comenta que los indicadores y los TTP maliciosos usados en las dos campañas son completamente diferentes, por lo que "existe una gran probabilidad de que se trate de dos campañas dispares".

>

El investigador apunta que los métodos de infiltración iniciales son similares, pero DB#JAMMER resultaba un poco más sofisticada y utilizaba túneles. RE#TURGENCE, por su parte, es más específica y tiende a usar herramientas legítimas y monitorización y administración remotas, como AnyDesk, "en un intento de integrarse con la actividad normal”.

Los autores de esta investigación recomiendan abstenerse siempre de exponer servidores críticos directamente en Internet. Así, en el caso de RE#TURGENCE los cibermalos son capaces de acceder directamente a servidor por fuerza bruta desde el exterior de la red principal. 

Fuentes:

https://thehackernews.com/2024/01/turkish-hackers-exploiting-poorly.html

https://www.securonix.com/blog/securonix-threat-research-security-advisory-new-returgence-attack-campaign-turkish-hackers-target-mssql-servers-to-deliver-domain-wide-mimic-ransomware/
https://www.escudodigital.com/ciberseguridad/hackers-turcos-comprometen-servidores-ms-sql-mal-protegidos-en-varios-paises_57696_102.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.