A principios de esta semana, los analistas de amenazas descubrieron una actividad sospechosa que estaba ocurriendo en servidores Microsoft SQL vulnerables.
Según investigadores de ciberseguridad, los piratas informáticos atacaron los sistemas instalando balizas Cobalt Strike. Esto propagaría aún más la infección de malware por la red.
Servidores Microsoft SQL afectados por atacantes de Cobalt Strike
(Foto: Johny vino de Unsplash)
Según investigadores de ciberseguridad, los piratas informáticos atacaron servidores MS SQL instalando balizas Cobalt Strike.
En un informe de noticias de TecnologíaRadar El jueves 24 de febrero, los expertos notaron una serie de ataques al servidor MS SQL. ASEC de la firma de ciberseguridad Ahn Lab señaló que había actores de amenazas detrás de estos ataques.
Para llevar a cabo las operaciones, los atacantes comenzarán escaneando los servidores con el puerto TCP 1433. Posteriormente, el grupo lanzará sucesivos ataques para penetrar el interior del sistema y descifrar su código.
Los investigadores continuaron diciendo que la contraseña debería ser débil o fácil de adivinar. De aquí dependerá el ataque. Cuando el actor de amenazas se implementó en la cuenta de administrador, ese fue el momento en que los piratas informáticos instalaron Cobalt Strike para intensificar la propagación del malware en los servidores.
Los expertos de ASEC también fueron testigos de una gran cantidad de casos que involucraban a mineros de monedas, incluidos Vollgar, Lemon Duck y KingMinder.
Como producto de prueba de penetración pago descrito por Tech Radar, Cobalt Strike a menudo se descarga a través del proceso del shell de comandos, particularmente a través de powershell.exe y cmd.exe.
Por sólo 3500 dólares, el grupo de malware podría utilizarlo para realizar actividades maliciosas. Esto podría permitirles realizar simulaciones de ataques reales para comprometer varias empresas y organizaciones.
Una vez inyectado en el servidor de Microsoft, omitirá la detección en MSBuild.exe. A partir de ahí, se espera que la ejecución sea exitosa y cuando eso suceda, los atacantes inyectarán la baliza en el proceso wwanmm.dlll.
Si bien permanece discreto en el archivo de la biblioteca del sistema, tendrá que esperar a que el atacante ejecute el comando.
“Como la baliza que recibe la orden del atacante y realiza el comportamiento malicioso no existe en un área de memoria sospechosa y en su lugar opera en el módulo normal wwanmm.dll, puede eludir la detección basada en la memoria”, escribió el grupo ASEC de Ahn Lab en su informe. informe.
Las razones detrás de por qué los actores de amenazas se aprovecharon del ataque de Cobalt
Computadora que suena señaló en su informe a principios de esta semana que existen razones por las cuales los atacantes abusaron del uso de este producto para sus operaciones.
Ejecución de comando
Cómo permanecer seguro contra los ataques de cobalto
Dado que los objetivos comunes de explotación al utilizar este producto son servidores débiles, es mejor fortalecer las contraseñas para proteger la seguridad. Intente ingresar un código mixto de números y letras, así como caracteres en minúsculas y mayúsculas.
Según el informe, también deberías abstenerte de utilizar los patrones “123” habituales cuando pienses en una contraseña potente. No debe utilizar su fecha de nacimiento o nombre como contraseña, ya que los piratas informáticos pueden obtener acceso a su otra información de antemano.
Esta no fue la primera vez que el grupo Microsoft fue atacado por piratas informáticos que utilizaron Cobalt Strike. En 2020, los atacantes implementaron el malware “FakeUpdates” para infectar las redes con malware.
Este artículo es propiedad de Tech Times.
ⓒ 2023 . .
