Бизнес атакуют программы-вымогатели. Что важно о них знать?

Злоумышленники устанавливают с помощью брутфорса и словарных атак Cobalt Strike и майнеры на слабозащищенные серверы MS SQL. Новые атаки на Microsoft SQLЭксперты поинформационной безопасности наблюдают новую волну атак на серверы Microsoft SQL с использованием «маяков»Cobalt Strike.

Cobalt Strike —легальный инструмент пентеста и пост-эксплуатации, который, впрочем, активноиспользуется и киберкриминалом, и кибершпионами. Его «маяки» — это локальныеагенты Cobalt Strike,используемые для удаленного наблюдения за сетью или выполнения дальнейшихкоманд.MS SQL Server —популярная система управления базами данных, на основе которой работаютмногочисленные интернет-приложения любых масштабов.

По данным компании Ahn Lab, многие из этих серверовзащищены слабыми паролями и доступны из глобальной Сети, что делает их весьмапривлекательной мишенью.Атаки начинаются сосканирования серверов с открытым портом TCP 1433 — это признак доступного извне сервера MS SQL. После обнаружения такого ресурса злоумышленникизапускают брутфорс и словарные атаки с целью вскрытия пароля.Серверы MS SQL серийно атакуют с помощью Cobalt StrikeЕсли это удается, излоумышленник получает доступ к админской панели, до на сервер подгружаютсякриминальные криптомайнеры, такие как LemonDuck, KingMiner, Vollgar, а также «маяки» Cobalt Strike, обеспечивающие возможность дальнейшей разведкилокальной сети.

Бесфайловое злоCobaltStrikeзагружается через шелл-процесс (cmd.exe и powershell.exe), затем производится его инъекция и запуск в MSBuild.exe для избегания обнаружения. После запуска «маяк»встраивается в процесс системной библиотеки wwanmm.dll и ожидает команд от операторов, оставаясьскрытным.