Cibercriminosos usam táticas avançadas para atacar servidores MS SQL

   Servidores Microsoft SQL mal configurados estão sendo alvo de uma campanha motivada financeiramente para ganhar acesso inicial em regiões dos EUA, União Europeia e América Latina. A campanha, vinculada a atores de origem turca, foi nomeada como RE#TURGENCE.

   O acesso inicial aos servidores envolve a realização de ataques de força bruta, seguidos pelo uso da opção de configuração xp_cmdshell para executar comandos shell no host comprometido.

   Essa atividade é semelhante a uma campanha anterior chamada DB#JAMMER, que veio à tona em setembro de 2023. Esta etapa abre caminho para a recuperação de um script PowerShell de um servidor remoto, responsável por buscar um payload ofuscado do Cobalt Strike beacon.

   A ferramenta de pós-exploração é então usada para baixar o aplicativo de área de trabalho remota AnyDesk de um compartilhamento de rede montado para acessar a máquina e baixar ferramentas adicionais, como Mimikatz para colher credenciais e Advanced Port Scanner para realizar reconhecimento.

   O movimento lateral é realizado por meio de uma utilidade legítima de administração de sistemas chamada PsExec, que pode executar programas em hosts Windows remotos.