MSSQL 数据库遭受 FreeWorld攻击 勒索软件

已发现网络攻击活动损害了暴露的 Microsoft SQL Server (MSSQL) 数据库，使用暴力攻击来传播勒索软件和 Cobalt Strike 有效负载。

根据 Securonix 的调查，该活动观察到的典型攻击序列是从暴力破解访问暴露的 MSSQL 数据库开始的。经过初步渗透后，攻击者在目标系统内扩大立足点，并使用 MSSQL 作为滩头阵地，启动多种不同的有效负载，包括远程访问木马 (RAT) 和名为“FreeWorld”的新 Mimic 勒索软件变种，该变种因包含二进制文件名中的单词“FreeWorld”、名为 FreeWorld-Contact.txt 的勒索指令文件以及勒索软件扩展名“.FreeWorldEncryption”。

攻击者还建立一个远程 SMB 共享来安装存放其工具的目录，其中包括 Cobalt Strike 命令和控制代理 (srv.exe) 和 AnyDesk；并且，他们部署了网络端口扫描器和 Mimikatz，用于凭证转储并在网络内横向移动。最后，威胁行为者还进行了配置更改，从用户创建和修改到注册表更改，以削弱防御能力。

Securonix 将该活动称为“DB#JAMMER”，研究团队表示，该活动在攻击者对工具基础设施和有效负载的利用以及快速执行方面表现出“高水平的复杂性”。

Securonix 研究人员在报告中指出：“其中一些工具包括枚举软件、RAT 有效负载、漏洞利用和凭证窃取软件，最后是勒索软件有效负载。 ”

Securonix 威胁研究和网络安全副总裁 Oleg Kolesnikov 表示：“这不是我们经常看到的情况，真正使这种攻击序列与众不同的是威胁行为者使用的广泛工具和基础设施。”

科列斯尼科夫指出，该活动仍在进行中，但他的评估是，这是现阶段相对有针对性的活动。

“我们现阶段目前的评估是风险级别为中到高，因为有一些迹象表明攻击者使用的渗透媒介不仅限于 MSSQL，”他补充道。

这一最新威胁的发现正值勒索软件有望在 2023 年让更多组织受害之际，攻击者甚至在防御者检测到感染之前就迅速升级攻击，造成广泛的损害。

确保 MSSQL 安全

Kolesnikov 建议企业通过限制 MSSQL 服务暴露在互联网上来减少与 MSSQL 服务相关的攻击面，如果可行的话——研究人员警告说，受害的 MSSQL 数据库服务器具有外部连接和薄弱的帐户凭据——并且是受欢迎的重复目标。在AhnLab 研究人员观察到的一个实例中，一台遭到破坏的 MSSQL 服务器的凭据被多个威胁参与者破坏，留下了各种勒索软件、Remcos RAT 和硬币挖矿程序的痕迹。

“此外，安全团队必须了解并实施与攻击进展和恶意威胁行为者所利用的行为相关的防御措施，”他说，包括限制 xp_cmdshell 的使用作为其标准操作程序的一部分。该报告还建议组织监控常见的恶意软件暂存目录，特别是“C:\Windows\Temp”，并部署其他进程级日志记录（例如 Sysmon 和 PowerShell 日志记录）以实现额外的日志检测覆盖范围。

Palo Alto’s Unit 42 7 月份的一份报告发现，与 2022 年相比，针对易受攻击的 SQL 服务器的恶意活动激增了 174% 。