Главная страница » IOC
0
6 месяцев
IOC

Случай атаки на серверы MS-SQL с использованием GotoHTTP

security

Аналитический центр AhnLab SEcurity Intelligence Center (ASEC) отслеживает серверы MS-SQL, которые управляются ненадлежащим образом. Они обнаружили случай атаки с использованием инструмента удаленного управления GotoHTTP. Такие инструменты, как AnyDesk, ToDesk, RuDesktop, TeamViewer и AmmyyAdmin, позволяют контролировать и управлять системами удаленно. Однако они могут быть использованы и злоумышленниками. В данном случае, злоумышленник использовал AnyDesk для атаки на сервер MS-SQL.

GotoHTTP

Атака началась с взлома сервера MS-SQL, который, скорее всего, использовал слабые учетные данные. Злоумышленник установил на сервер инструмент CLR SqlShell, который позволяет выполнять различные команды и вредоносные действия. Он использовал SqlShell для просмотра информации о зараженной системе.

После этого злоумышленник установил инструменты для повышения привилегий и вредоносное ПО, которое добавляло новые учетные записи или сбрасывало пароли существующих учетных записей пользователей. Затем злоумышленник установил GotoHTTP, инструмент удаленного управления, который позволяет удаленно управлять экраном системы.

Когда GotoHTTP установлен на зараженной системе, злоумышленник получает доступ к конфигурационному файлу "gotohttp.ini", в котором хранятся Идентификатор компьютера и Код доступа. Это позволяет ему удаленно управлять системой.

В целом, злоумышленник использовал ряд инструментов и вредоносного ПО, чтобы получить контроль над сервером MS-SQL и установить удаленное управление с помощью GotoHTTP. Это позволяет злоумышленнику иметь удаленный доступ к зараженной системе и выполнять различные действия, такие как просмотр информации о системе и добавление новых учетных записей. Этот случай подчеркивает важность обеспечения надлежащей безопасности серверов MS-SQL и защиты от подобных атак.

Indicators of Compromise

URLs

  • http://121.37.130.173/yow.txt
  • http://121.37.130.173/yow2.txt
  • http://121.37.130.173/yow3.txt
  • http://121.37.130.173/yow4.txt
  • http://121.37.130.173/yow5.txt

MD5

  • 1fdb1dd742674d3939f636c3fc4b761f
  • 45d35c34b2c20cb184afde6ed146e86e
  • 493aaca456d7d453520caed5d62fdc00
  • 6b2fbf67dbb11d9bef35a5135d96af5f
  • 90e9ff3b82ea8c336b45c9c949d41080
Комментарии: 0
Похожие записи
0
5 дней
IOC

Тенденции в распространении вредоносного стилеров за март 2025 года

Spyware
В AhnLab Security Intelligence Center (ASEC) разработаны системы для предварительного реагирования на угрозы по типу Infostealer. Системы автоматически собирают вредоносное программное обеспечение и производят
0
9 дней
IOC

Тенденции марта 2025 года в области фишинговых писем

phishing
Наиболее распространенным типом угрозы среди фишинговых писем был фишинг, при котором злоумышленники используют скрипты, такие как HTML, чтобы подделать макет экрана, логотипы и шрифты страниц входа в систему и рекламных страниц.
0
15 дней
IOC

BeaverTail и Tropidoor распространялись через рекрутинговые письма

security
В ноябре 2024 года был раскрыт случай распространения вредоносных программ BeaverTail и Tropidoor через рекрутинговые электронные письма, где злоумышленники выдавали себя за рекрутеров из сообщества разработчиков Dev.