Microsoft SQL Servers ที่มีช่องโหว่ ตกเป็นเป้าหมายการโจมตีด้วย Cobalt Strike

นักวิเคราะห์ภัยคุกคามได้สังเกตเห็นการโจมตีคลื่นลูกใหม่ที่ติดตั้ง Cobalt Strike beacons บน Microsoft SQL Servers ที่มีช่องโหว่ซึ่งนำไปสู่การโจมตี และติดมัลแวร์

Cobalt Strike เป็น Penetration testing framework ที่มีคุณสมบัติหลายอย่าง ซึ่งช่วยให้ผู้โจมตีสามารถปรับใช้ และติดตั้ง Beacon Payload บนเครื่อง ซึ่งจะทำให้ผู้โจมตีสามารถเข้าถึงระบบได้จากระยะไกล แม้ว่า Cobalt Strike จะเป็น Penetration testing framework ที่ถูกใช้ในการทำ Pentest อย่างถูกกฎหมาย แต่ก็ถูกผู้โจมตีนำไป Crack และนำไปใช้งานอย่างไม่ถูกต้อง และถูกใช้โดย Squirrelwaffle, Emotet, ผู้ให้บริการ Malware หรือกลุ่ม Ransomware เป็นต้น

ขั้นตอนการโจมตี

ผู้โจมตีจะสแกนหาเซิร์ฟเวอร์ที่มีพอร์ต TCP 1433 เปิดอยู่ ซึ่งหมายความว่าน่าจะเป็นเซิร์ฟเวอร์ MS-SQL ที่เชื่อมต่อกับ Public (ไม่ได้หมายความว่า Server ที่ไม่ได้เชื่อมต่อกับ Public ไม่มีความเสี่ยง)
ผู้โจมตีจะดำเนินการ Brute-forcing, Dictionary attacks เพื่อถอดรหัสรหัสผ่าน
เมื่อผู้โจมตีสามารถเข้าถึงบัญชีผู้ดูแลระบบ และเข้าสู่ระบบเซิร์ฟเวอร์สำเร็จ จะทำการติดตั้ง Cobalt Strike ผ่าน Command Shell (cmd.