15/67 (IT) ประจำวันพฤหัสบดีที่ 11 มกราคม 2567
กลุ่มแฮกเกอร์ชาวตุรกีมุ่งเป้าไปที่เซิร์ฟเวอร์ Microsoft SQL (MSSQL) ทั่วโลก เพื่อทำการเข้ารหัสไฟล์ของผู้ที่ตกเป็นเหยื่อด้วยแรนซัมแวร์ Mimic (N3ww4v3) ซึ่งการโจมตีที่กำลังดำเนินอยู่เหล่านี้ ได้รับการติดตามในชื่อ RE#TURGENCE และมุ่งเป้าไปที่เป้าหมายที่อยู่ในสหภาพยุโรป สหรัฐอเมริกา และแถบละตินอเมริกา
แฮกเกอร์จะทำการโจมตีเซิร์ฟเวอร์ฐานข้อมูล MSSQL ที่เปิดเผยทางอินเทอร์เน็ต ด้วยการใช้การโจมตีแบบ brute force จากนั้นพวกเขาจะใช้ขั้นตอน xp_cmdshell ที่ระบบจัดเก็บไว้ ซึ่งอนุญาตให้สร้างเชลล์คำสั่ง Windows ที่มีสิทธิ์ด้านความปลอดภัยเช่นเดียวกับบัญชีบริการ SQL Server ซึ่ง xp_cmdshell จะถูกปิดใช้งานโดยค่าเริ่มต้น และในขั้นต่อไป ผู้โจมตีได้ปรับใช้เพย์โหลด Cobalt Strike โดยใช้ลำดับของสคริปต์ PowerShell และเทคนิคการสะท้อนในหน่วยความจำ โดยมีเป้าหมายสุดท้ายคือการ injection เข้าไปในกระบวนการ SndVol.exe ของ Windows-native พวกเขายังดาวน์โหลดและใช้งานตัวแอปพลิเคชันเดสก์ท็อประยะไกล AnyDesk เป็นบริการ จากนั้นเริ่มรวบรวมข้อมูลประจำตัวที่เป็นข้อความธรรมดาที่แยกออกมาโดยใช้ Mimikatz หลังจากสแกนเครือข่ายและโดเมน Windows โดยใช้ยูทิลิตี้ Advanced Port Scanner พวกเขาจะทำการแฮกอุปกรณ์อื่น ๆ บนเครือข่าย และใช้ข้อมูลประจำตัวที่ถูกขโมยไปก่อนหน้านี้ ทำให้ตัวควบคุมโดเมนเสียหาย จากนั้นพวกเขาจึงปรับใช้เพย์โหลดของแรนซัมแวร์ Mimic ในรูปแบบไฟล์เก็บถาวรแบบขยายตัวเองผ่าน AnyDesk เพื่อค้นหาไฟล์ที่จะเข้ารหัสโดยใช้แอป Everything ซึ่งเป็นเทคนิคที่ค้นพบครั้งแรกในเดือนมกราคม 2023 โดยแรนซัมแวร์ Mimic จะทิ้งไบนารีทุกอย่างที่ใช้เพื่อช่วยในกระบวนการเข้ารหัส Mimic dropper เมื่อกระบวนการเข้ารหัสเสร็จสมบูรณ์ กระบวนการ red.exe จะดำเนินการตามการแจ้งเตือนการเข้ารหัส/การชำระเงิน ซึ่งบันทึกไว้ในไดรฟ์ C:\ drive as ‘—IMPORTANT—NOTICE—.txt’