Turkish Hacking Operation Targets Misconfigured SQL Servers

Key Takeaways

攻击背景：土耳其黑客组织针对美国、拉美和欧盟的配置错误的SQL数据库服务器进行攻击。攻击手法：使用暴力破解手段获取控制权，并利用Mimikatz等工具窃取凭证。攻击后果：最终可能导致勒索软件的传播。

最近一项报告显示，土耳其黑客组织利用Mimic勒索软件别名为N3ww4v3，针对美国、拉美以及欧盟的配置错误的 Microsoft SQL数据库服务器。根据 BleepingComputer 的消息，此次攻击属于RE#TURGENCE攻击活动。

为掌控暴露在互联网的MSSQL服务器，攻击者采用了暴力破解方式。随后，他们利用系统内置的xpcmdshell程序进行权限提升，并施用了Cobalt Strike载荷，计划注入SndVolexe进程。Securonix威胁研究团队的报告指出，攻击者还通过Mimikatz和高级端口扫描器工具窃取了明文凭证和其他网络设备，以及被攻击的域控制器。接着，攻击者使用AnyDesk实现了Mimic勒索软件的传播。

研究人员表示：“此次威胁活动的分析结果显示，攻击的结局通常有两种方式，要么是‘出售’被攻击主机的‘访问权’，要么是最终递送勒索软件载荷。 从首次访问到MIMIC勒索软件在受害者域内的部署，事件的时间线大约为一个月。”

clashx

相关信息

攻击工具描述Mimic勒索软件，别名N3ww4v3Mimikatz用于窃取凭证的工具Cobalt Strike远程控制和攻击框架AnyDesk远程桌面软件，用于传播勒索软件

攻击的复杂性和隐匿性使得针对这些漏洞的防御措施显得尤为重要。系统管理员应定期检查数据库配置并强化安全性，以防止潜在的网络攻击。