土耳其黑客向全球MS SQL 服务器发起RE#TURGENCE攻击行动
我要评论近日,土耳美国、其黑全球欧盟和拉美(LATAM)地区的服发起微软 SQL(MS SQL)服务器安全状况不佳,因而被土耳其黑客盯上,攻击成为了其正在进行的行动以获取初始访问权限为目的的金融活动的攻击目标。
Securonix 研究人员 Den Iuzvyk、土耳Tim Peck 和 Oleg Kolesnikov 在与《黑客新闻》共享的其黑全球一份技术报告中提到:威胁活动一般会以以下两种方式结束:要么是出售被入侵主机的访问权,要么是服发起最终交付勒索软件有效载荷。
Securonix 网络安全公司将此次土耳其黑客发起的攻击攻击行动命名为 "RE#TURGENCE"。此次行动与 2023 年 9 月曝光的行动名为 DB#JAMMER 的活动如出一辙。都是土耳先对服务器的初始访问需要进行暴力破解攻击,亿华云然后使用 xp_cmdshell 配置选项在被入侵主机上运行 shell 命令,其黑全球以便从远程服务器检索 PowerShell 脚本打好基础,服发起然后由该脚本负责获取经过混淆的攻击 Cobalt Strike beacon 有效载荷。最后,行动黑客会利用后剥削工具包从挂载的网络共享中下载 AnyDesk 远程桌面应用程序,以访问机器并下载其他工具,如 Mimikatz 以获取凭据,以及高级端口扫描器以进行侦查。
横向移动是通过一种名为 PsExec 的合法系统管理实用程序完成的,它可以在远程 Windows 主机上执行程序。
该攻击链最终以部署 Mimic 勒索软件而达到高潮,DB#JAMMER 活动中也使用了该勒索软件的变种。
Kolesnikov告诉《黑客新闻》:"这两个活动中使用的指标和恶意TTP完全不同,因此很有可能是两个不同的活动。也就是亿华云计算说,虽然最初的渗透方法类似,但 DB#JAMMER 更复杂一些,使用了隧道技术。相比之下RE#TURGENCE 更有针对性,倾向于使用合法工具以及 AnyDesk 等远程监控和管理工具,试图混入正常活动中。
Securonix表示,它发现了威胁行为者的操作安全(OPSEC)失误,由于AnyDesk的剪贴板共享功能已启用,因此它可以监控剪贴板活动。这样就有机会收集到他们的在线别名 atseverse,该名称还与 Steam 和土耳其一个名为 SpyHack 的黑客论坛上的个人资料相对应。
研究人员提醒说:一定要避免将关键服务器直接暴露在互联网上。在 RE#TURGENCE 的情况下,攻击者可以直接从主网络外部强行进入服务器。
源码下载相关文章
用电脑合成人物剪纸,打造独特的手工艺品(电脑合成剪纸教程,手工艺品新潮流)
摘要:剪纸作为一种传统的手工艺品,一直以来都备受人们的喜爱。而随着科技的发展,电脑合成人物剪纸成为了一种新的手工艺品制作方式。通过电脑技术的辅助,我们可以创造出更加精细、更加独特的剪纸作...2025-11-04- 摘要:qs1轴作为一种先进的技术,正在引起技术领域的广泛关注。它在各个领域展现出了强大的应用潜力,并且对科技发展产生了深远影响。本文将重点探索qs1轴在技术领域的应用和创新,并展示它在推...2025-11-04
以UEFI启动U盘装机教程(轻松掌握UEFI启动U盘装机的方法及注意事项)
摘要:在计算机装机过程中,UEFI启动U盘已经成为了一种常见的安装操作系统的方式。相比传统的BIOS引导方式,UEFI启动U盘具有更快的启动速度和更好的兼容性。本文将为大家详细介绍如何使...2025-11-04使用Windows7U盘刷机教程(简单易懂的U盘刷机步骤,让你的电脑焕然一新)
摘要:在使用电脑的过程中,我们经常会遇到各种问题,比如系统运行缓慢、出现蓝屏等等,这时候重装系统是一个不错的选择。而使用U盘进行刷机则是一种简便快捷的方式,能够让你的电脑焕然一新。本文将...2025-11-04电脑开机重置错误的解决方法(应对电脑开机重置错误的有效措施)
摘要:电脑作为现代人日常生活中必不可少的工具,经常会遇到开机重置错误的情况。本文将为大家介绍一些解决电脑开机重置错误的有效方法,帮助读者更好地处理此类问题。一、检查电脑硬件是否连...2025-11-04联想X270M2固态装机教程(轻松升级X270固态硬盘,释放性能潜能)
摘要:随着科技的进步,传统机械硬盘已经不能满足用户对速度和便携性的需求。而联想X270作为一款高性能的超极本,配备了M.2固态硬盘插槽,为用户提供了升级的空间。本文将为您介绍如何升级联想...2025-11-04
最新评论