Sono state rilevate attività malevole volte a diffondere beacon Cobalt Strike come teste di ponte su server in cui sono presenti istanze vulnerabili di Microsoft SQL per ottenere l’accesso iniziale alle reti target e distribuire successivamente payload malevoli.
Ricordiamo che MS-SQL Server è un popolare sistema di gestione di database per applicazioni Internet, mentre Cobalt Strike è un framework di penetration testing usualmente utilizzato dai red team come piattaforma di simulazione delle minacce, ma sempre più spesso sfruttato da vari attori delle minacce nella maggior parte degli attacchi, inclusi APT e ransomware.
In particolare, tramite l’Agent Beacon Cobalt Strike installato sulla macchina della vittima, un utente malintenzionato può garantirsi l’accesso remoto al sistema grazie al fatto che essendo il beacon stesso una shellcode unfiless potrebbe essere difficilmente rilevabile dagli strumenti di sicurezza soprattutto in sistemi mal gestiti.
Indice degli argomenti
La catena d’infezione
La catena d’infezione prevede inizialmente la scansione della porta TCP 1433 alla ricerca di server esposti su Internet con password deboli.
Successivamente, le modalità di intrusione prevedono l’accesso ai dispositivi target tramite lo sfruttamento di vulnerabilità note su sistemi non aggiornati (esiste quindi già la patch da installare fornita da Microsoft) e attacchi di tipo brute force o a dizionario per decifrare le password degli account amministrativi (account di default “sa”).
Questo non vuol dire che i server non lasciati accessibili su Internet non siano vulnerabili: esistono infatti in letteratura malware che scansionano la medesima porta per spostarsi lateralmente all’interno della stessa rete.
“Anche se il server MS-SQL non è aperto al pubblico, esistono malware come Lemon Duck che esegue la scansione della porta 1433 e si diffonde ai fini del movimento laterale nella rete interna”, si legge nel rapporto del gruppo ASEC di AhnLab che ha identificato la catena di attacchi. “Altri malware oltre a Lemon Duck che prendono di mira il server MS-SQL sono dei malware CoinMiner come Kingminer e Vollgar”.
Una volta ottenuto l’accesso sui dispositivi target, gli attaccanti eseguono un processo della shell dei comandi (cmd.exe/powershell.exe) sull’MS-SQL compromesso al fine di prelevare il payload di Cobalt Strike e usarlo per il movimento laterale e garantire persistenza.
Quest’ultimo verrà successivamente iniettato nel processo “MSBuild.exe” ed eseguito nell’area di memoria non sospetta ma lecita della libreria “wwanmm.dll”, al fine di eludere eventuali meccanismi di sicurezza presenti sul sistema.
Le raccomandazioni del CSIRT
Anche il CSIRT Italia ha diramato un bollettino di sicurezza consigliando di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) resi disponibili, oltre che di seguire delle opportune misure preventive quali mantenere i dispositivi costantemente aggiornati, non esporli direttamente sulla rete internet e prevedere una segmentazione della rete.
I dati di raccolti da AhnLab mostrano, infine, che l’ondata degli attacchi registrata nell’ultimo mese molto probabilmente sia da attribuire allo stesso attore delle minacce.
