吳明宜資安公司Securonix發現一波名為DB#JAMMER的攻擊行動,鎖定使用弱密碼的微軟SQL Server資料庫。攻擊者部署了多種惡意工具,包括Cobalt Strike和FreeWorld勒索軟體。這次攻擊再次凸顯了使用強密碼的重要性。
安全廠商發現,駭客正鎖定使用弱密碼的微軟 SQL Server 資料庫,感染滲透測試程式 Cobalt Strike 及名為 FreeWorld 的勒索軟體。
資安公司 Securonix 將這波攻擊行動稱為 DB#JAMMER,研究人員表示這次攻擊令人矚目的是攻擊者部署惡意工具和基礎架構的手法,因為使用的工具包含列舉 (enumeration) 軟體、 RAT 、濫用工具、憑證竊取軟體,以及勒索軟體。這隻勒索軟體可能是 Mimic 勒索軟體變種,該公司稱為 FreeWorld 。
攻擊者一開始是透過暴力破解駭入 MS SQL Server,再用它列舉分析資料庫,並運用 xp_cmdshell 配置工具執行 shell 指令以展開偵察。接下來,攻擊者設法突破防火牆,連向遠端系統的 SMB 網路芳鄰,並在其中安裝各種惡意程式,包括 Cobalt Strike 。在這一步後,攻擊者再散佈 AnyDesk 遠端桌面軟體,最後植入 FreeWorld 勒索軟體,之後就可進行橫向移動。
目前尚未能確認身份的攻擊者原本欲透過 Ngrok 建立 RDP 滲透連線,但並未能成功。
研究人員指出,整起攻擊肇因在 MS SQL 伺服器遭到暴力破解。這也突破使用強密碼的重要性,特別是面向網際網路的服務。
這是近來最新一起 MS SQL Server 為目標的攻擊行動。上周 AhnLab 安全緊急回應中心 (ASEC) 也偵測到一樁在 SQL Server 植入 LoveMiner 挖礦軟體及頻寬劫持 (proxyjacking) 軟體的攻擊行動。