حمله کوبالت استرایک به سرورهای SQL مایکروسافت

شرکت Ahn Labs می‌گوید سرورهای آسیب‌پذیر SQL مایکروسافت توسط کوبالت استرایک هدف قرار گرفته‌اند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تحلیلگران موفق به شناسایی موج جدیدی از حملات شده‌اند که بیکن‌های کوبالت استرایک را بر روی سرورهای آسیب‌پذیر SQL مایکروسافت نصب می‌کند که موجب نفوذ عمیق تر و آلودگی‌های بدافزاری خواهد شد.

طبق گزارش Ahn Labs، بسیاری از این استفاده‌ها به اندازه کافی ایمن نیستند و به علت دارا بودن پسوردهای ضعیف در معرض خطر هستند. ظاهرا یک بازیگر مخرب در حال بهره‌برداری از این موضوع است.

این حملات با اسکن برای شناسایی سرورهایی با پورت ۱۴۳۳ تی‌سی‌پی باز آغاز می‌شود. مهاجم سپس با انجام حملات بروت‌فورس و دیکشنری سعی بر کرک کردن پسوردها خواهد کرد.

در صورتی که مهاجمان به حساب ادمین دسترسی پیدا کنند و به سرور وارد شوند، اقدام به رهاسازی استخراج‌کننده‌هایی مانند لمون داک، کینگ ماینر و وُلگار خواهند کرد. مهاجمان همچنین با ایجاد در پشتی در سرور به وسیله کوبالت استرایک در سیستم باقی می‌مانند و حرکات جانبی انجام خواهند داد.

کوبالت استرایک از طریق فرایند فرمان شِل بر روی اس کیو ال‌های ناایمن دانلود خواهند شد و سپس با هدف شناسایی نشدن در MSBuild.exe تزریق و اجرا می‌شوند.

پس از اجرا، یک بیکن در فرایند wwanmm.dll ویندوز تزریق خواهد شد و سپس به انتظار فرمان مهاجم خواهد نشست. این بیکن پس از دریافت فرمان به اجرای فعالیت های مخرب خواهد پرداخت.

بازیگران مخرب زیادی به دلیل قابلیت‌های بالا از کوبالت استرایک استفاده می‌کنند. ازجمله این قابلیت‌ها می‌توان به مواردی مانند اجرای فرمان، کی لاگینگ، عملیات‌های فایل، پراکسی SOCKS، افزایش سطح دسترسی به امتیازات، سرقت داده‌های احراز هویت و اسکن پورت اشاره کرد.