‫ هکرها سرورهای MS SQL را به وسیله باج افزار Mimic هدف قرار دادند

محققان Securonix هشدار می‌دهند هکرها سرورهای پایگاه داده MS SQL را مجبور به دریافت باج‌افزار Mimic می‌کنند.

درباره باج افزار Mimic

باج افزار Mimic برای اولین بار در ژوئن 2022 مشاهده شد و در ژانویه 2023 توسط محققان Trend Micro مورد تجزیه و تحلیل قرار گرفت.

از APIهای متعلق به موتور جستجو برای جستجوی فایل‌هایی که باید در ویندوز رمزگذاری شوند سوء استفاده می‌کند و توانایی حذف کپی‌ها، توقف فرآیندها و سرویس‌ها (مانند Windows Defender)، خارج کردن درایوهای مجازی و موارد دیگر را دارد فایل های رمزگذاری شده پسوند فایل .QUIETPLACE را دریافت می‌کنند.

از تجزیه و تحلیل‌ها به نظر می‌رسد برخی از بخش‌های کد مبتنی بر باج‌افزار Conti است که در مارس 2022 فاش شد و دارای شباهت‌های متعددی با آن است برای مثال، شمارش تمام حالت‌های رمزگذاری برای Mimic و Conti یک عدد صحیح را به اشتراک می‌گذارد محققان Trend Micro خاطرنشان کردند که MIMIC کاربران روسی و انگلیسی زبان را هدف قرار می دهد.

کمپین تهدیدهای آنالیز شده

در این کمپین اخیر هکرها موفق شدند از طریق حملات brute force به سرورهای MS SQL دسترسی پیدا کنند هنگامی که یک حساب مدیر در معرض خطر قرار می‌گیرد، از رویه xp_cmdshell برای اجرای دستورات استفاده می‌کنند سپس ابزار Cobalt Strike یک ابزار دسترسی از راه دور تجاری می‌باشد را برای اجرای کد و همچنین ابزار دسترسی از راه دور AnyDesk را مستقر کردند.

هکرها با ایجاد یک اکانت کاربری و افزودن آن به گروه "مدیران" ماندگاری پیدا می کنند آنها اقدام به کشف سیستم کردند و در نهایت با استفاده از AnyDesk باج افزار را مستقر کردند محققان Securonix خاطرنشان کردند: "جدول زمانی رویدادها نشان می‌دهد حدود یک ماه از استقرار باج‌افزار Mimic در دامنه قربانی گذشته است." به نظر می‌رسد هکرها انگیزه مالی داشته و کشورهای آمریکا، اتحادیه اروپا و LATAM را هدف قرار داده‌اند.

سرورهای MS SQL تحت حمله

در آخرین کمپین تهدیدهای آنالیز شده، چیزی که محققان Securonix در سال گذشته مشاهده کردند، باج‌افزار Mimic سرورهای MS SQL را هدف قرار دادند در کمپین دیگری که توسط محققان در اوایل سال 2020 ثبت شد، مهاجمان از سرورهای MS SQL دارای امنیت ضعیف برای نصب ماینرهای ارزهای دیجیتال Vollar و Monero استفاده کردند.