土耳其黑客向全球MS SQL 服务器发起RE#TURGENCE攻击行动

近日，土耳美国、其黑全球欧盟和拉美（LATAM）地区的服发起微软 SQL（MS SQL）服务器安全状况不佳，因而被土耳其黑客盯上
，攻击成为了其正在进行的行动以获取初始访问权限为目的的金融活动的攻击目标。

Securonix 研究人员 Den Iuzvyk 、土耳Tim Peck 和 Oleg Kolesnikov 在与《黑客新闻》共享的其黑全球一份技术报告中提到  ：威胁活动一般会以以下两种方式结束：要么是亿华云出售被入侵主机的访问权 ，要么是服发起最终交付勒索软件有效载荷。

Securonix 网络安全公司将此次土耳其黑客发起的攻击攻击行动命名为 "RE#TURGENCE"。此次行动与 2023 年 9 月曝光的行动名为 DB#JAMMER 的活动如出一辙。都是土耳先对服务器的初始访问需要进行暴力破解攻击，建站模板然后使用 xp_cmdshell 配置选项在被入侵主机上运行 shell 命令 ，其黑全球以便从远程服务器检索 PowerShell 脚本打好基础，服发起然后由该脚本负责获取经过混淆的攻击 Cobalt Strike beacon 有效载荷
。最后，行动黑客会利用后剥削工具包从挂载的网络共享中下载 AnyDesk 远程桌面应用程序，以访问机器并下载其他工具 ，如 Mimikatz 以获取凭据，以及高级端口扫描器以进行侦查 。

横向移动是通过一种名为 PsExec 的云计算合法系统管理实用程序完成的  ，它可以在远程 Windows 主机上执行程序。

该攻击链最终以部署 Mimic 勒索软件而达到高潮，DB#JAMMER 活动中也使用了该勒索软件的变种 。

Kolesnikov告诉《黑客新闻》："这两个活动中使用的指标和恶意TTP完全不同，因此很有可能是两个不同的活动。也就是服务器租用说，虽然最初的渗透方法类似
，但 DB#JAMMER 更复杂一些，使用了隧道技术。相比之下RE#TURGENCE 更有针对性 ，倾向于使用合法工具以及 AnyDesk 等远程监控和管理工具，试图混入正常活动中。

Securonix表示，它发现了威胁行为者的操作安全（OPSEC）失误，由于AnyDesk的源码库剪贴板共享功能已启用，因此它可以监控剪贴板活动。这样就有机会收集到他们的在线别名 atseverse，该名称还与 Steam 和土耳其一个名为 SpyHack 的黑客论坛上的个人资料相对应。

研究人员提醒说 ：一定要避免将关键服务器直接暴露在互联网上 。在 RE#TURGENCE 的情况下 ，攻击者可以直接从主网络外部强行进入服务器
。