کمیته رکن چهارم – شرکت Ahn Labs میگوید سرورهای آسیبپذیر SQL مایکروسافت توسط کوبالت استرایک هدف قرار گرفتهاند.
تحلیلگران موفق به شناسایی موج جدیدی از حملات شدهاند که بیکنهای کوبالت استرایک را بر روی سرورهای آسیبپذیر SQL مایکروسافت نصب میکند که موجب نفوذ عمیق تر و آلودگیهای بدافزاری خواهد شد.
طبق گزارش Ahn Labs، بسیاری از این استفادهها به اندازه کافی ایمن نیستند و به علت دارا بودن پسوردهای ضعیف در معرض خطر هستند. ظاهرا یک بازیگر مخرب در حال بهرهبرداری از این موضوع است.
این حملات با اسکن برای شناسایی سرورهایی با پورت ۱۴۳۳ تیسیپی باز آغاز میشود. مهاجم سپس با انجام حملات بروتفورس و دیکشنری سعی بر کرک کردن پسوردها خواهد کرد.
در صورتی که مهاجمان به حساب ادمین دسترسی پیدا کنند و به سرور وارد شوند، اقدام به رهاسازی استخراجکنندههایی مانند لمون داک، کینگ ماینر و وُلگار خواهند کرد. مهاجمان همچنین با ایجاد در پشتی در سرور به وسیله کوبالت استرایک در سیستم باقی میمانند و حرکات جانبی انجام خواهند داد.
کوبالت استرایک از طریق فرایند فرمان شِل بر روی اس کیو الهای ناایمن دانلود خواهند شد و سپس با هدف شناسایی نشدن در MSBuild.exe تزریق و اجرا میشوند.
پس از اجرا، یک بیکن در فرایند wwanmm.dll ویندوز تزریق خواهد شد و سپس به انتظار فرمان مهاجم خواهد نشست. این بیکن پس از دریافت فرمان به اجرای فعالیت های مخرب خواهد پرداخت.
بازیگران مخرب زیادی به دلیل قابلیتهای بالا از کوبالت استرایک استفاده میکنند. ازجمله این قابلیتها میتوان به مواردی مانند اجرای فرمان، کی لاگینگ، عملیاتهای فایل، پراکسی SOCKS، افزایش سطح دسترسی به امتیازات، سرقت دادههای احراز هویت و اسکن پورت اشاره کرد.
منبع : سایبربان
