Главная страница » Индикаторы компрометации
0
1 день
Индикаторы компрометации

Киберпреступники Trigona атакуют MS-SQL серверы с помощью новых методов

APT

Группа хакеров Trigona, известная своими атаками с использованием программ-вымогателей (ransomware, вредоносное программное обеспечение для шифрования файлов с последующим требованием выкупа), продолжает активно атаковать серверы MS-SQL, применяя усовершенствованные техники и новые типы вредоносного (malicious, злонамеренного) программного обеспечения. Согласно последнему отчету AhnLab SEcurity intelligence Center (ASEC), злоумышленники эксплуатируют уязвимости в системах с простыми учетными данными и серверах, доступных из публичных сетей.

Описание

Аналитики ASEC отмечают, что несмотря на сходство с предыдущими атаками, Trigona внедрила в свой арсенал новые инструменты для удаленного контроля, сканирования и эскалации привилегий. Особенностью текущей кампании является использование утилиты Bulk Copy Program (BCP), встроенного инструмента MS-SQL для импорта и экспорта данных, для создания вредоносных файлов непосредственно на зараженных системах.

Злоумышленники получают первоначальный доступ к серверам через атаки методом грубой силы (brute-force) и словарные атаки на учетные записи с простыми паролями. После успешного входа они используют CLR Shell для выполнения команд и установки дополнительных полезных нагрузок. Среди первых выполняемых команд - сбор системной информации через hostname, whoami, systeminfo, tasklist и wmic useraccount.

Ключевой особенностью последних атак стало использование BCP для экспорта вредоносного кода из таблиц базы данных в локальные файлы. Злоумышленники создавали таблицу с именем "uGnzBdZbsi", содержащую двоичные данные вредоносных программ, и использовали файл формата "FODsOZKgAU.txt" для корректного экспорта. Через команды bcp данные преобразовывались в исполняемые файлы, сохраняемые в различных системных каталогах.

Помимо BCP, Trigona использовала множество других инструментов для загрузки вредоносного ПО, включая Curl, Bitsadmin и PowerShell. Например, команды типа curl и bitsadmin /transfer применялись для скачивания дополнительных компонентов с внешних серверов, а PowerShell Invoke-WebRequest - для получения скриптов.

В арсенале удаленного контроля злоумышленники продолжают использовать AnyDesk, устанавливая его в путь %ALLUSERSPROFILE% с параметрами --install и --silent. Дополнительно они активируют RDP (Remote Desktop Protocol) и создают пользователей с именами "Remote99" или "Ladmin" через batch-скрипты. Нововведением стало использование Bat2Exe-загрузчика, который устанавливает инструмент удаленного мониторинга и управления Teramind через MSI-файл из внешних источников.

Наиболее значительным изменением в тактике Trigona стало внедрение сканеров, написанных на языке Rust. Эти сканеры отправляют информацию о зараженной системе, включая IP-адрес и геолокацию, полученную через сервис ip-api.com, на командный сервер (C&C, Command and Control), после чего выполняют сканирование служб RDP и MS-SQL согласно полученным командам.

Перед развертыванием сканирующих инструментов злоумышленники проводят тестирование инфраструктуры. В числе используемых диагностических инструментов - SpeedTest от Ookla для измерения скорости интернета и StressTester, предположительно разработанный самой группой. StressTester, написанный на Go, предоставляет возможности тестирования SQL-инъекций, а также GET и POST запросов.

Дополнительно Trigona использует различные инструменты для эскалации привилегий, в том числе Defender Control и утилиты с GitHub. Среди прочего вредоносного ПО обнаружены программы для удаления файлов в определенных путях и замены исполняемых файлов на вредоносный код. Один из таких деструктивных компонентов, разработанный на Rust, удаляет каталоги в путях "C:\Users\Default\Drivers" и "C:\Drivers", а также исполняемые файлы в "C:\ProgramData" и "C:\Users\Public\Music".

Эксперты по безопасности подчеркивают, что основная угроза для MS-SQL серверов исходит от атак на системы с плохо управляемыми учетными данными. Администраторам рекомендуется использовать сложные пароли, регулярно их менять и обновлять антивирусное ПО до последних версий. Не менее важным является применение межсетевых экранов для контроля доступа внешних злоумышленников к серверам баз данных. Без реализации этих мер защиты угроза продолжения заражений серверов со стороны таких групп, как Trigona, остается крайне высокой.

По данным ASEC, наблюдаемая активность Trigona демонстрирует эволюцию тактик группы, которая адаптирует свои инструменты под меняющиеся условия безопасности, сохраняя при этом неизменными основные векторы атаки через уязвимые MS-SQL серверы.

Индикаторы компрометации

IPv4

  • 179.43.159.186
  • 198.55.98.133

URLs

  • http://195.66.214.79/AD.exe
  • http://195.66.214.79/AD.msi
  • http://195.66.214.79/drivers.txt
  • http://195.66.214.79/L.bat
  • http://195.66.214.79/Monitor.exe

MD5

  • 2e4d250ecae8635fa3698eba5772a3b9
  • 3c21181c35d955f9e557417998c38942
  • 44bca3e7da4c28be4f55af0370091931
  • 4af4c15092110057cb0a97df626c4ef4
  • 4d627c63fdd8442eaf7d9be7e50d1e46
Комментарии: 0
Похожие записи
0
30.09.2025
Индикаторы компрометации

Киберпреступники атакуют незащищённые MS-SQL серверы с помощью фреймворка XiebroC2

information security
Южнокорейский центр киберразведки AhnLab Security Intelligence Center (ASEC) зафиксировал новую волну атак на неправильно настроенные серверы Microsoft SQL Server, в которых злоумышленники используют открытый
0
09.03.2023
Индикаторы компрометации

RedLine Stealer IOCs - Part 16

Stealer
RedLine крадет различную информацию, такую как веб-браузеры, FTP-клиенты, криптовалютные кошельки и настройки ПК. Она также может загружать дополнительные вредоносные программы, получая команды с C&
0
30.01.2023
Индикаторы компрометации

Pony Stealer IOCs

Stealer
Pony - это Infostealer, который обычно распространяется через спам по электронной почте. Эта вредоносная программа оснащена функциями Infostealer, которые обеспечивают утечку учетных данных пользователя