Código HTML do Conteúdo
Post: Ameaças atores explorando servidores MS-SQL para implantar a estrutura do Xiebroc2 - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<p>Um aumento nos ataques direcionados aos servidores MS-SQL gerenciados indevidamente, culminando na implantação da estrutura de comando e controle de código aberto XIEBROC2 (C2). </p>
<p>Em funcionalidade semelhante a ferramentas legítimas como o cobalto, o Xiebroc2 oferece recursos para coleta de informações, controle remoto e evasão de defesa, tornando-a uma opção atraente para atores de ameaças que buscam uma plataforma de intrusão econômica.</p>
<p>Em um incidente confirmado, os invasores alavancaram publicamente as credenciais do MS-SQL Server para obter acesso não autorizado. </p>
<p>Depois de forças de contas fracas ou padrão, os intrusos executaram uma sequência de implantações de carga útil comuns aos compromissos do MS-SQL, com os mineradores de criptomoeda sendo o malware principal de escolha.</p>
<p>Uma vez autenticado, os atores de ameaças abandonaram a Juicypotato, um utilitário de escalonamento de privilégio que explora privilégios específicos do Windows dentro dos tokens do processo MS-SQL em execução. </p>
<p>Os pesquisadores do Ahnlab Security Intelligence Center (ASEC) têm <a href="https://asec.ahnlab.com/ko/90326/" rel="noreferrer noopener nofollow" target="_blank">descoberto </a>Um serviço do SQL Server opera sob uma conta de baixa privilégio por padrão, a Juicypotato permitiu que os atacantes elevassem os privilégios do sistema.</p>
<p>A evidência do download e da execução foi capturada nos logs do servidor, mostrando a função Invoke-WebRequest do PowerShell, puxando a carga útil do XIEBROC2 sobre o HTTP. Essa sequência ressalta o risco crítico representado por servidores de banco de dados acessíveis ao público sem políticas de credenciais robustas ou controles de acesso em nível de rede.</p>
<p>Com os privilégios do sistema protegidos, os atacantes executaram um comando PowerShell para recuperar e instalar o XIEBROC2 diretamente de seu <a href="https://gbhackers.com/github-outage-hits-users-globally/" rel="noreferrer noopener" target="_blank">Github</a> repositório. </p>
<h2 id="2-xiebroc2-framework"><strong>XIEBROC2 Framework</strong></h2>
<p>O componente de implante do Xiebroc2-a funcionalidade principal da backdoor-está escrita em Go, fornecendo suporte de plataforma cruzada para Windows, Linux e <a href="https://gbhackers.com/loki-macos-attack/" rel="noreferrer noopener" target="_blank">sistemas macos</a>. </p>
<p>Uma vez implantado, o implante inicia uma conexão com o servidor C2 do atacante, autentica usando uma chave AES pré -configurada e aguarda comandos. Os recursos comuns incluem:</p>
<ul>
<li>Acesso à casca reversa.</li>
<li>Gerenciamento de arquivos e processos.</li>
<li>Monitoramento de rede e captura de pacotes.</li>
<li>Tunelamento de proxy reverso.</li>
<li>Captura de captura de tela.</li>
</ul>
<p>Após a execução, o XIEBROC2 coleta detalhes do ambiente, como ID do processo (PID), ID de hardware (HWID), nome do computador e nome de usuário e, em seguida, se conecta transparentemente ao<a href="https://gbhackers.com/sliver-c2-server-vulnerability-enables-tcp-hijacking/" rel="noreferrer noopener" target="_blank"> Servidor C2</a> para registrar o host comprometido. No incidente monitorado pela ASEC, os parâmetros de configuração foram os seguintes:</p>
<ul>
<li>Hostport: 1.94.185[.]235: 8433.</li>
<li>Protocolo: sessão/reverse_ws.</li>
<li>ListerName:<strong> </strong>Test2.</li>
<li>Aeskey: qwert_csdmahuatw.</li>
</ul>
<p>Esses valores permitiram ao implante estabelecer uma sessão de Websocket criptografada persistente sobre o TCP, fornecendo comunicação bidirecional resiliente mesmo na presença de interrupções da rede. </p>
<p>Depois de conectado, o invasor pode executar comandos arbitrários ou implantar cargas úteis adicionais, cimentando o ponto de apoio para um movimento lateral ou exfiltração lateral.</p>
<h2 id="3-mitigation-and-recommendations"><strong>Mitigações</strong></h2>
<p><strong>Aplicar fortes políticas de autenticação:</strong> Os administradores devem desativar credenciais fracas ou padrão nos servidores MS-SQL. Implementar senhas complexas e exclusivas e ativar as políticas de bloqueio de conta reduzirão drasticamente a taxa de sucesso de <a href="https://gbhackers.com/stegcracker-brute-force-utility/" rel="noreferrer noopener" target="_blank">força bruta</a> e ataques de dicionário.</p>
<p><strong>Limite a exposição pública:</strong> As instâncias MS-SQL não devem estar diretamente acessíveis na Internet. Empregue regras de segmentação de rede e firewall para restringir o acesso ao banco de dados a apenas servidores de aplicativos autorizados ou pontos de extremidade da VPN.</p>
<p><strong>Patch e atualização:</strong> Verifique se todos os pontos de extremidade executando os serviços MS-SQL estão totalmente corrigidos e executando as atualizações de segurança mais recentes. As vulnerabilidades nos processos de hospedagem de serviço podem facilitar o compromisso inicial e a escalada de privilégios.</p>
<p><strong>Monitore e alerta:</strong> Implante sistemas de detecção de intrusão capazes de sinalizar tentativas de login anômalos, execução inesperada da ferramenta de escalonamento de privilégio (por exemplo, Juicypotato) e conexões de rede de saída incomuns-especialmente para endereços IP externos desconhecidos e portas incomuns.</p>
<p><strong>Proteção de terminais:</strong> Utilize soluções antimalware atualizadas para detectar e quarentena ferramentas conhecidas como componentes da estrutura Juicypotato e C2. A análise comportamental pode fornecer alerta precoce das atividades de reconhecimento ou movimento lateral.</p>
<p>A ASEC continua a monitorar ameaças emergentes direcionando servidores de banco de dados e insta as organizações a adotar uma abordagem em profundidade. </p>
<p>A falha em garantir mecanismos de autenticação, manter patches atualizados e restringir o acesso à rede pode levar a infecções repetidas e comprometer a infraestrutura crítica. Hoje, a ação preventiva protege as estruturas de intrusão avançadas de amanhã.</p>
<p><strong>Siga -nos<a href="https://news.google.com/publications/CAAqKAgKIiJDQklTRXdnTWFnOEtEV2RpYUdGamEyVnljeTVqYjIwb0FBUAE?hl=en-IN&gl=IN&ceid=IN%3Aen" rel="noreferrer noopener" target="_blank">Google News</a>Assim,<a href="https://www.linkedin.com/company/cyber-threat-intel/" rel="noreferrer noopener" target="_blank">LinkedIn</a>e<a href="https://x.com/The_Cyber_News" rel="noreferrer noopener" target="_blank">X</a>Para obter atualizações instantâneas e definir GBH como uma fonte preferida em<a href="https://www.google.com/preferences/source?q=https://gbhackers.com/" rel="noreferrer noopener" target="_blank">Google</a>.</strong></p>
</div></div>