Cobalt Strike colpisce server Microsoft SQL

Cobalt Strike colpisce server Microsoft SQL

Esperti di sicurezza coreani hanno rilevato nuovi attacchi effettuati con il tool Cobalt Strike contro server Microsoft SQL accessibili dall'esterno.
Esperti di sicurezza coreani hanno rilevato nuovi attacchi effettuati con il tool Cobalt Strike contro server Microsoft SQL accessibili dall'esterno.

I ricercatori coreani di AhnLab hanno scoperto una nuova ondata di attacchi effettuati tramite beacon Cobalt Strike contro server Microsoft SQL vulnerabili. Dopo aver ottenuto l’accesso, i cybercriminali possono eseguire numerose operazioni, come il furto di dati sensibili e l’installazione di altri malware, ransomware inclusi.

Cobalt Strike: attacco a Microsoft SQL

Microsoft SQL è uno dei DBMS relazionali più popolari per i sistemi Windows. Cobalt Strike è invece uno dei tool più utilizzati dagli esperti di sicurezza per i cosiddetti “penetration test”, ma oggi viene spesso sfruttato per eseguire attacchi informatici. I cybercriminali effettuano innanzitutto la ricerca di server vulnerabili attraverso la scansione della porta 1443 lasciata aperta da amministratori IT distratti.

Se la password è “debole” non ci vuole molto per scoprirla con attacchi di forza bruta o basati sul dizionario. Dopo aver scoperto la password dell’account admin, i cybercriminali possono installare un cryptominer, come Lemon Duck, KingMiner o Vollgar e il famoso tool Cobalt Strike.

In seguito alla sua esecuzione viene installato un beacon nel processo wwanmm.dll di Windows. Il beacon riceve i comandi da remoto e permette di eseguire varie operazioni, senza essere rilevato perché utilizza l’area di memoria del processo legittimo e non viene copiato su disco.

Tra le funzionalità di Cobalt Strike ci sono: esecuzione comandi, keylogging, operazioni sui file, escalation di privilegi, scansione delle porte e furto di credenziali con Mimikatz. I suggerimenti per ridurre al minimo i rischi sono sempre gli stessi: usare password robuste, nascondere il server dietro un firewall e installare tutti gli aggiornamenti di sicurezza disponibili.

Fonte: ASEC
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 24 feb 2022
Link copiato negli appunti