Hackers usam ferramenta Open Source XiebroC2 em ataques MS-SQL

O AhnLab Security Intelligence Center (ASEC) emitiu um alerta após identificar uma nova campanha de ataques direcionados a servidores MS-SQL mal configurados. Os hackers estão utilizando a framework de Comando e Controle (C2) de código aberto XiebroC2, que oferece recursos avançados de evasão e controle remoto, reminiscentes da notória ferramenta hacker CobaltStrike.

O caso foi confirmado em um sistema que estava exposto à internet e, suspeita-se, utilizava credenciais de login fracas ou vulneráveis. Antes da detecção do XiebroC2, o mesmo servidor já havia sido alvo de tentativas de instalação de malware, incluindo o popular CoinMiner, que explora servidores de banco de dados para mineração ilegal de criptomoedas. A vulnerabilidade dos servidores MS-SQL mal gerenciados os torna um alvo constante para a comunidade de invasores.

A análise do ASEC revelou a metodologia de ataque: após obter sucesso no login inicial, o hacker instalou o malware JuicyPotato. Essa etapa é crucial, pois, por padrão, os processos do MS-SQL são executados com privilégios baixos. Isso limita a capacidade do malware de realizar ações mais destrutivas ou de se mover lateralmente no sistema.

Para contornar essa restrição, os hackers frequentemente empregam exploits de escalonamento de privilégios como o Potato (ou suas variações, como o JuicyPotato), que exploram certas permissões entre os tokens da conta do processo em execução. Uma vez que o JuicyPotato assegura privilégios mais elevados no sistema, o invasor passa para o estágio seguinte: o download e a instalação do XiebroC2 usando o PowerShell.

O XiebroC2 é uma framework C2 (Comando e Controle) cujo código-fonte está disponível publicamente, o que facilita sua adoção por diversos hackers. O componente principal, o Implant (o backdoor), é escrito na linguagem Go e oferece compatibilidade com uma ampla gama de plataformas, incluindo Windows, Linux e macOS. Uma vez instalado, o XiebroC2 fornece ao invasor um arsenal de recursos maliciosos, como shell reverso, gerenciamento de arquivos e processos, monitoramento de rede, proxy reverso e captura de tela.

Os ataques contra servidores MS-SQL geralmente se enquadram em duas categorias: ataques de força bruta e ataques de dicionário, ambos visando credenciais de conta fracas. Diante da ameaça crescente do XiebroC2, o ASEC reforça as diretrizes de segurança.

É imperativo que os administradores utilizem senhas complexas e de difícil adivinhação, realizando alterações regulares para impedir ataques. Além disso, a implementação de medidas de segurança robustas, como firewalls, é crucial para restringir o acesso de hackers externos a servidores de banco de dados que possam estar acessíveis publicamente. A falha na adoção dessas medidas básicas pode resultar em infecções contínuas por malware e a perda de controle do sistema para invasores.

Via - ASEC