Южнокорейский центр киберразведки AhnLab Security Intelligence Center (ASEC) зафиксировал новую волну атак на неправильно настроенные серверы Microsoft SQL Server, в которых злоумышленники используют открытый фреймворк XiebroC2 для удаленного контроля над системами. Этот инструмент, исходный код которого опубликован на GitHub, функционально напоминает знаменитый Cobalt Strike и предоставляет злоумышленникам широкие возможности по сбору информации, удаленному управлению и обходу систем защиты.
Описание
Атака начинается с компрометации MS-SQL сервера, доступного из интернета и использующего слабые учетные данные. Исследователи предполагают, что злоумышленники применяют методы грубого подбора паролей и атаки по словарю для получения доступа к таким системам. После успешного входа в систему атакующие устанавливают утилиту JuicyPotato, предназначенную для эскалации привилегий.
Особенность MS-SQL служб заключается в том, что даже при наличии уязвимостей или неправильных настроек, позволяющих выполнять команды злоумышленников, связанные процессы обычно работают с ограниченными правами. Это создает серьезные препятствия для дальнейшего развития атаки. Именно для преодоления этого ограничения киберпреступники используют так называемые "картофельные" эксплойты, которые злоупотребляют токенами учетных записней для повышения привилегий до уровня SYSTEM.
После получения повышенных привилегий злоумышленники загружают и запускают имплант XiebroC2 с помощью PowerShell. Этот фреймворк, написанный на языке Go, представляет особую опасность благодаря своей кроссплатформенности - он способен работать под управлением Windows, Linux и macOS. Функциональность XiebroC2 включает создание обратных оболочек, управление файлами и процессами, мониторинг сетевой активности, организацию обратного прокси-сервера и захват скриншотов.
В анализируемом инциденте имплант XiebroC2 содержал конфигурацию с указанием адреса сервера управления 1.94.185[.]235 на порту 8433, использованием протокола Session/Reverse_Ws и AES-ключа для шифрования коммуникации. После запуска вредоносная программа собирает идентификаторы процесса и оборудования, имя компьютера и учетной записи пользователя, после чего устанавливает соединение с командным сервером для получения инструкций.
Исследователи ASEC отмечают, что скомпрометированная система ранее уже подвергалась попыткам установки различных вредоносных программ, среди которых преобладали криптомайнеры. Это соответствует общей тенденции атак на MS-SQL серверы, которые часто используются для скрытого майнинга криптовалют.
Для защиты от подобных атак специалисты по кибербезопасности рекомендуют администраторам баз данных принимать комплексные меры. Критически важно использовать сложные пароли, устойчивые к подбору, и регулярно их менять. Необходимо поддерживать антивирусное программное обеспечение в актуальном состоянии для блокировки известных угроз. Для серверов, доступных из внешних сетей, требуется настройка межсетевых экранов и других средств контроля доступа.
Отсутствие этих базовых мер защиты создает условия для постоянного заражения систем различными вредоносными программами. Открытая природа фреймворка XiebroC2 делает его особенно опасным, поскольку он доступен даже начинающим киберпреступникам, что может привести к росту числа подобных инцидентов в будущем.
Индикаторы компрометации
IPv4
- 1.94.185.235
URLs
- http://183.196.14.213:2780/tee.exe
MD5
- 4cfdd0ae14185e72a74e67717c23526c
- 7d28a709a6ca6eef5af40f48cf7e3d12
