Türk Hackerlar MS SQL Sunucularından Yararlanıyor

amcaan

Yeni üye
4 Ara 2023
7
1
Güvenliği zayıf olan Microsoft SQL (MS SQL) sunucuları, ilk erişim elde etmek için mali açıdan motive edici devam eden bir kampanyanın parçası olarak ABD, Avrupa Birliği ve Latin Amerika (LATAM) bölgelerinde hedefleniyor.Türk kökenli aktörlerle bağlantılı kampanyaya siber güvenlik firması tarafından RE#TURGENCE kod adı verildi.

Sunuculara ilk erişim, kaba kuvvet saldırılarının gerçekleştirilmesini ve ardından tehlikeye atılan ana bilgisayarda kabuk komutlarını çalıştırmak için xp_cmdshell yapılandırma seçeneğinin kullanılmasını gerektirir. Bu etkinlik , Eylül 2023’te ortaya çıkan DB#JAMMER adlı önceki kampanyanın etkinliğini yansıtıyor.

Bu aşama, gizlenmiş bir Cobalt Strike işaret yükünü almaktan sorumlu olan uzak bir sunucudan bir PowerShell betiğinin alınmasının önünü açıyor.Kullanım sonrası araç seti daha sonra, makineye erişmek ve kimlik bilgilerini toplamak için Mimikatz ve keşif gerçekleştirmek için Gelişmiş Bağlantı Noktası Tarayıcısı gibi ek araçları indirmek için AnyDesk uzak masaüstü uygulamasını takılı bir ağ paylaşımından indirmek için kullanılır.

Yanal hareket, uzak Windows ana bilgisayarlarındaki programları çalıştırabilen PsExec adı verilen yasal bir sistem yönetim yardımcı programı aracılığıyla gerçekleştirilir.Bu saldırı zinciri, sonuçta, bir çeşidi DB#JAMMER kampanyasında da kullanılan Mimic fidye yazılımının konuşlandırılmasıyla doruğa ulaşıyor.

😬
 
Son düzenleme:

lyxG

Katılımcı Üye
15 Ocak 2019
258
30
ib0m74k.JPG


bilinenin aksine çok fazla sunucuda açık değil, 3 gün önce bulmuştum, makaleyi desteklesin diye buraya atıyorum fotoğrafı. Ellerine sağlık :)
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.