Mimic勒索软件攻击全球微软SQL服务器

近日，索软Securonix威胁研究团队发现，攻击全一群出于经济动机的球微器土耳其黑客正在攻击全球范围内的微软SQL(MSSQL)服务器，并使用Mimic(N3ww4v3)勒索软件加密受害者的服务文件。

这些正在进行的索软攻击代号为RE#TURGENCE，主要针对欧盟、攻击全美国和拉丁美洲的球微器目标。

发现该活动的服务Securonix威胁研究团队表示 ：“分析显示
 ，免费模板此类攻击活动的索软结束方式主要有两种 ：要么出售受感染主机的访问权 ，要么最终交付勒索软件有效负载 。攻击全”

“从初始访问到部署Mimic勒索软件，球微器事件发生的服务时间周期大约为一个月。”

针对目标 ：配置不安全的索软微软SQL服务器

据报道 ，攻击者主要通过暴力攻击入侵在线暴露的攻击全，配置不安全的球微器MSSQL数据库服务器 。源码库然后使用系统存储的xp_cmdshell进程生成一个与SQL Server服务帐户具有相同安全权限的Windows命令shell。

xp_cmdshell默认处于禁用状态，因为恶意行为者经常使用它来提升权限 ，而且启动该进程通常会触发安全审核工具
。

在下一阶段，攻击者使用一系列PowerShell脚本和内存反射技术部署高度混淆的CobaltStrike有效负载，最终目标是将其注入到Windows原生进程SndVol.exe中。

攻击者还下载并启动AnyDesk远程桌面应用程序作为服务，然后开始收集使用Mimikatz提取的云计算明文凭据。

使用高级端口扫描程序扫描本地网络和Windows域后
，攻击将蔓延到网络上的其他设备，并使用之前窃取的凭据入侵域控制器。

通过AnyDesk投放勒索软件

然后，攻击者通过AnyDesk将Mimic勒索软件有效载荷部署为自解压存档 ，使用合法的Everything应用程序搜索要加密的文件，该技术于2023年1月首次被安全人员观察到。

“Mimic将删除用于辅助加密过程的香港云服务器Everything二进制文件。在我们的案例中，Mimic投放程序‘red25.exe’删除了所有必要的文件 ，以便主要勒索软件有效负载能完成其目标，”Securonix表示。

“加密过程完成后，red.exe进程会发送加密/付款通知，该通知以“—IMPORTANT—NOTICE—.txt”的文本格式保存在受害者的C盘上。”

安全媒体BleepingComputer发现，服务器租用Mimic勒索软件通知中使用的电子邮件(datenklause0@gmail.com)与Phobos勒索软件存在关联。Phobos于2018年首次出现 ，是源自Crysis勒索软件家族的勒索软件即服务（RaaS）。

Securonix去年还曝光了另一个针对MSSQL服务器的活动（跟踪代号为DB#JAMMER）  ，使用相同的暴力初始访问攻击并部署FreeWorld勒索软件（Mimic勒索软件的别名）。