Güvenliği zayıf olan Microsoft SQL (MS SQL) sunucuları, ilk erişim elde etmek için mali açıdan motive edici devam eden bir kampanyanın parçası olarak ABD, Avrupa Birliği ve Latin Amerika (LATAM) bölgelerinde hedefleniyor.
Türk kökenli aktörlerle bağlantılı kampanyaya siber güvenlik firması tarafından RE#TURGENCE kod adı verildi.
Sunuculara ilk erişim, kaba kuvvet saldırılarının gerçekleştirilmesini ve ardından tehlikeye atılan ana bilgisayarda kabuk komutlarını çalıştırmak için xp_cmdshell yapılandırma seçeneğinin kullanılmasını gerektirir. Bu etkinlik , Eylül 2023’te ortaya çıkan DB#JAMMER adlı önceki kampanyanın etkinliğini yansıtıyor.
Bu aşama, gizlenmiş bir Cobalt Strike işaret yükünü almaktan sorumlu olan uzak bir sunucudan bir PowerShell betiğinin alınmasının önünü açıyor.
Kullanım sonrası araç seti daha sonra, makineye erişmek ve kimlik bilgilerini toplamak için Mimikatz ve keşif gerçekleştirmek için Gelişmiş Bağlantı Noktası Tarayıcısı gibi ek araçları indirmek için AnyDesk uzak masaüstü uygulamasını takılı bir ağ paylaşımından indirmek için kullanılır.
Yanal hareket, uzak Windows ana bilgisayarlarındaki programları çalıştırabilen PsExec adı verilen yasal bir sistem yönetim yardımcı programı aracılığıyla gerçekleştirilir.
Bu saldırı zinciri, sonuçta, bir çeşidi DB#JAMMER kampanyasında da kullanılan Mimic fidye yazılımının konuşlandırılmasıyla doruğa ulaşıyor.
