I ricercatori coreani di AhnLab hanno scoperto una nuova ondata di attacchi effettuati tramite beacon Cobalt Strike contro server Microsoft SQL vulnerabili. Dopo aver ottenuto l’accesso, i cybercriminali possono eseguire numerose operazioni, come il furto di dati sensibili e l’installazione di altri malware, ransomware inclusi.
Cobalt Strike: attacco a Microsoft SQL
Microsoft SQL è uno dei DBMS relazionali più popolari per i sistemi Windows. Cobalt Strike è invece uno dei tool più utilizzati dagli esperti di sicurezza per i cosiddetti “penetration test”, ma oggi viene spesso sfruttato per eseguire attacchi informatici. I cybercriminali effettuano innanzitutto la ricerca di server vulnerabili attraverso la scansione della porta 1443 lasciata aperta da amministratori IT distratti.
Se la password è “debole” non ci vuole molto per scoprirla con attacchi di forza bruta o basati sul dizionario. Dopo aver scoperto la password dell’account admin, i cybercriminali possono installare un cryptominer, come Lemon Duck, KingMiner o Vollgar e il famoso tool Cobalt Strike.
In seguito alla sua esecuzione viene installato un beacon nel processo wwanmm.dll
di Windows. Il beacon riceve i comandi da remoto e permette di eseguire varie operazioni, senza essere rilevato perché utilizza l’area di memoria del processo legittimo e non viene copiato su disco.
Tra le funzionalità di Cobalt Strike ci sono: esecuzione comandi, keylogging, operazioni sui file, escalation di privilegi, scansione delle porte e furto di credenziali con Mimikatz. I suggerimenti per ridurre al minimo i rischi sono sempre gli stessi: usare password robuste, nascondere il server dietro un firewall e installare tutti gli aggiornamenti di sicurezza disponibili.