Des chercheurs en sécurité ont identifié une nouvelle campagne qui installe des balises Cobalt Strike sur des serveurs Microsoft SQL mal protégés.
De nombreuses instances MS-SQL Server sont exposées à Internet avec des mots de passe faibles, dont de nombreux pirates savent abuser, et les chercheurs en cybersécurité de l'ASEC Ahn Lab ont maintenant trouvé quelqu'un qui fait exactement cela.
Tout d'abord, ils analysent Internet à la recherche de points de terminaison avec le port TCP 1433 ouvert. Ils effectuent ensuite des attaques par force brute contre ces serveurs, essayant un nombre infini de mots de passe jusqu'à ce que l'un reste. Le mot de passe doit être relativement facile à deviner pour que l'attaque fonctionne, ont ajouté les chercheurs.
Abus de logiciels légitimes
Une fois que les attaquants sont à l'intérieur, c'est juste une question de préférence, ce qu'ils installent. Parfois, ce sont des mineurs de crypto-monnaie comme LemonDuck, KingMiner ou Vollgar, mais la plupart du temps, c'est Cobalt Strike.
Cobalt Strike est un produit de test d'intrusion payant, souvent utilisé à mauvais escient par des acteurs malveillants à des fins néfastes. Il permet la persistance et le mouvement latéral dans tout le réseau cible. Les pirates peuvent l'utiliser pour exécuter des commandes, enregistrer des clés, élever des privilèges, analyser des ports et voler des informations d'identification. De plus, son shellcode sans fichier réduit les chances que les solutions antivirus détectent l'instance.
"Étant donné que la balise qui reçoit la commande de l'attaquant et exécute le comportement malveillant n'existe pas dans une zone de mémoire suspecte et fonctionne à la place dans le module wwanmm.dll normal, elle peut échapper à la détection basée sur la mémoire", expliquent les chercheurs.
Bien que le nom des attaquants reste un mystère, AhnLab a déclaré que toutes les URL de téléchargement, ainsi que les URL du serveur C2, utilisées dans ces récentes attaques pointent vers le même acteur menaçant.
La meilleure façon de rester en sécurité est de conserver un mot de passe fort, qui comprend une série de lettres majuscules et minuscules, de chiffres et de symboles. Évitez d'utiliser des chiffres en séquence (123, 789), des dates significatives (anniversaires, par exemple) ou des noms qui pourraient être obtenus par ingénierie sociale (noms de rues, noms de personnes importantes, enfants, animaux domestiques, entreprise, etc.). ).
En plus des mots de passe forts, il est également conseillé aux utilisateurs de garder le serveur derrière un pare-feu, de tout enregistrer et d'être à l'affût des actions suspectes. Ils doivent également s'assurer que tous les logiciels sont mis à jour fréquemment.
Via: BleepingComputer