Ameaças atores explorando servidores MS-SQL para implantar a estrutura do Xiebroc2 – Against Invaders – Notícias de CyberSecurity para humanos.

Ameaças atores explorando servidores MS-SQL para implantar a estrutura do Xiebroc2 - Against Invaders - Notícias de CyberSecurity para humanos.

Um aumento nos ataques direcionados aos servidores MS-SQL gerenciados indevidamente, culminando na implantação da estrutura de comando e controle de código aberto XIEBROC2 (C2).

Em funcionalidade semelhante a ferramentas legítimas como o cobalto, o Xiebroc2 oferece recursos para coleta de informações, controle remoto e evasão de defesa, tornando-a uma opção atraente para atores de ameaças que buscam uma plataforma de intrusão econômica.

Em um incidente confirmado, os invasores alavancaram publicamente as credenciais do MS-SQL Server para obter acesso não autorizado.

Depois de forças de contas fracas ou padrão, os intrusos executaram uma sequência de implantações de carga útil comuns aos compromissos do MS-SQL, com os mineradores de criptomoeda sendo o malware principal de escolha.

Uma vez autenticado, os atores de ameaças abandonaram a Juicypotato, um utilitário de escalonamento de privilégio que explora privilégios específicos do Windows dentro dos tokens do processo MS-SQL em execução.

Os pesquisadores do Ahnlab Security Intelligence Center (ASEC) têm descoberto Um serviço do SQL Server opera sob uma conta de baixa privilégio por padrão, a Juicypotato permitiu que os atacantes elevassem os privilégios do sistema.

A evidência do download e da execução foi capturada nos logs do servidor, mostrando a função Invoke-WebRequest do PowerShell, puxando a carga útil do XIEBROC2 sobre o HTTP. Essa sequência ressalta o risco crítico representado por servidores de banco de dados acessíveis ao público sem políticas de credenciais robustas ou controles de acesso em nível de rede.

Com os privilégios do sistema protegidos, os atacantes executaram um comando PowerShell para recuperar e instalar o XIEBROC2 diretamente de seu Github repositório.

XIEBROC2 Framework

O componente de implante do Xiebroc2-a funcionalidade principal da backdoor-está escrita em Go, fornecendo suporte de plataforma cruzada para Windows, Linux e sistemas macos.

Uma vez implantado, o implante inicia uma conexão com o servidor C2 do atacante, autentica usando uma chave AES pré -configurada e aguarda comandos. Os recursos comuns incluem:

  • Acesso à casca reversa.
  • Gerenciamento de arquivos e processos.
  • Monitoramento de rede e captura de pacotes.
  • Tunelamento de proxy reverso.
  • Captura de captura de tela.

Após a execução, o XIEBROC2 coleta detalhes do ambiente, como ID do processo (PID), ID de hardware (HWID), nome do computador e nome de usuário e, em seguida, se conecta transparentemente ao Servidor C2 para registrar o host comprometido. No incidente monitorado pela ASEC, os parâmetros de configuração foram os seguintes:

  • Hostport: 1.94.185[.]235: 8433.
  • Protocolo: sessão/reverse_ws.
  • ListerName: Test2.
  • Aeskey: qwert_csdmahuatw.

Esses valores permitiram ao implante estabelecer uma sessão de Websocket criptografada persistente sobre o TCP, fornecendo comunicação bidirecional resiliente mesmo na presença de interrupções da rede.

Depois de conectado, o invasor pode executar comandos arbitrários ou implantar cargas úteis adicionais, cimentando o ponto de apoio para um movimento lateral ou exfiltração lateral.

Mitigações

Aplicar fortes políticas de autenticação: Os administradores devem desativar credenciais fracas ou padrão nos servidores MS-SQL. Implementar senhas complexas e exclusivas e ativar as políticas de bloqueio de conta reduzirão drasticamente a taxa de sucesso de força bruta e ataques de dicionário.

Limite a exposição pública: As instâncias MS-SQL não devem estar diretamente acessíveis na Internet. Empregue regras de segmentação de rede e firewall para restringir o acesso ao banco de dados a apenas servidores de aplicativos autorizados ou pontos de extremidade da VPN.

Patch e atualização: Verifique se todos os pontos de extremidade executando os serviços MS-SQL estão totalmente corrigidos e executando as atualizações de segurança mais recentes. As vulnerabilidades nos processos de hospedagem de serviço podem facilitar o compromisso inicial e a escalada de privilégios.

Monitore e alerta: Implante sistemas de detecção de intrusão capazes de sinalizar tentativas de login anômalos, execução inesperada da ferramenta de escalonamento de privilégio (por exemplo, Juicypotato) e conexões de rede de saída incomuns-especialmente para endereços IP externos desconhecidos e portas incomuns.

Proteção de terminais: Utilize soluções antimalware atualizadas para detectar e quarentena ferramentas conhecidas como componentes da estrutura Juicypotato e C2. A análise comportamental pode fornecer alerta precoce das atividades de reconhecimento ou movimento lateral.

A ASEC continua a monitorar ameaças emergentes direcionando servidores de banco de dados e insta as organizações a adotar uma abordagem em profundidade.

A falha em garantir mecanismos de autenticação, manter patches atualizados e restringir o acesso à rede pode levar a infecções repetidas e comprometer a infraestrutura crítica. Hoje, a ação preventiva protege as estruturas de intrusão avançadas de amanhã.

Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas e definir GBH como uma fonte preferida emGoogle.

azaeo.com – datalake

File fishes formats available in:

TextoJSONJSON-LDXMLHTMLHTML SourcePDFMarkdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.