Piratas informáticos con con origen en Turquía están llevando a cabo una campaña en la que atacan a servidores Microsoft SQL (MS SQL) que no están convenientemente protegidos.
Los investigadores de la firma Securonix, Den Iuzvyk, Tim Peck y Oleg Kolesnikov, han informado sobre esta operación, revelando que su conclusión puede derivar en dos caminos: vendiendo acceso al host comprometido o bien entregando cargas útiles de ransomware.
La campaña, bautizada por la empresa de ciberseguridad como RE#TURGENCE, tiene motivaciones financieras para obtener acceso inicial y está afectando a regiones como EE.UU., la Unión Europea y Latinoamérica.
Según recoge The Hacker News, el acceso inicial a los servidores supone hacer ataques de fuerza bruta, seguidos del uso de la opción de configuración xp_cmdshell para ejecutar comandos de shell en el host comprometido. Esta actividad refleja la de una campaña anterior denominada DB#JAMMER que salió a la luz en septiembre de 2023.
Dicha etapa allana el camino para la recuperación de un script de PowerShell de un servidor remoto que es responsable de recuperar una carga útil ofuscada de la baliza Cobalt Strike.
Después, el kit de herramientas posterior a la explotación se utiliza para descargar la aplicación de escritorio remoto AnyDesk desde un recurso compartido de red montado para acceder a la máquina e instalar herramientas adicionales como Mimikatz para recopilar credenciales y Advanced Port Scanner para realizar reconocimiento.
La cadena de ataques, en última instancia, concluye con la implementación del ransomware Mimic, el cual también se usó en la campaña DB#JAMMER.
¿Misma campaña o campañas diferentes?
Oleg Kolesnikov comenta a The Hacker News que los indicadores y los TTP maliciosos usados en las dos campañas son completamente diferentes, por lo que "existe una gran probabilidad de que se trate de dos campañas dispares".
El investigador apunta que los métodos de infiltración iniciales son similares, pero DB#JAMMER resultaba un poco más sofisticada y utilizaba túneles. RE#TURGENCE, por su parte, es más específica y tiende a usar herramientas legítimas y monitorización y administración remotas, como AnyDesk, "en un intento de integrarse con la actividad normal”.
Los autores de esta investigación recomiendan abstenerse siempre de exponer servidores críticos directamente en Internet. Así, en el caso de RE#TURGENCE los cibermalos son capaces de acceder directamente a servidor por fuerza bruta desde el exterior de la red principal.