Haberler

Hackerlar,  Cobalt Strike Kullanarak Microsoft SQL Server’lara Saldırıyor

Tehdit analistleri, savunmasız Microsoft SQL Sunucularına Cobalt Strike beacons yükleyen ve daha derin sızmalara ve ardından kötü amaçlı yazılım bulaşmalarına yol açan yeni bir saldırı dalgası gözlemledi.

Saldırılar, internete açık MS-SQL sunucularının TCP 1433 portunu tarayarak başlıyor. Saldırgan daha sonra parolayı kırmak için brute-force yapıyor. Saldırının her iki yöntemle de çalışması için hedef parolanın zayıf olması gerekli. Saldırgan yönetici hesabına erişip sunucuya giriş yaptığında, Lemon Duck , KingMiner ve Vollgar gibi kripto para madenciliği yapmak için kullanıyorlar. Ek olarak, tehdit aktörü, kalıcılık sağlamak ve yanal hareket gerçekleştirmek için sunucuda Cobalt Strike ile arka kapı açıyor.

Cobalt Strike, MS-SQL’e cmd veya powershell aracılığıyla indirilir. Bu işlemden sonra windows wwanmm.dll işlemine bir işaret verilir ve sistem kitaplığı dosyasında gizli kalırken saldırganın komutlarını bekler. Saldırganın komutunu alan ve kötü niyetli davranışı gerçekleştiren process, şüpheli bir bellek alanında bulunmadığından ve bunun yerine wwanmm.dll normal modülünde çalıştığından, bellek tabanlı algılamayı atlayabiliyor.

Kaynak: bleepingcomputer.com

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu