По данным «Лаборатории Касперского», число атак в Казахстане с использованием Microsoft SQL Server выросло в сентябре 2022 года в пять раз по сравнению с предыдущим месяцем этого года.
Microsoft SQL Server остается популярным ПО, с помощью которого корпорации и небольшие компании по всему миру управляют базами данных. Злоумышленники же пытаются через него получить доступ к корпоративной инфраструктуре.
«Очень многие компании используют ПО Microsoft SQL Server, но не все из них уделяют должное внимание защите от угроз, связанных с его использованием. Такие атаки известны уже давно, но они по-прежнему приносят успех злоумышленникам», — говорит Сергей Солдатов, руководитель Центра мониторинга кибербезопасности «Лаборатории Касперского».
Скрипты PowerShell и PNG-файлы
Технические детали одного из таких инцидентов освещаются в отчёте Kaspersky Managed Detection and Response. Эксперты «Лаборатории Касперского» подробно описывают последовательность команд, которые выполняет агент сервера.
«Атакующие пытались модифицировать конфигурацию сервера и получить доступ к командной оболочке, чтобы запустить вредоносное ПО через PowerShell.
Скомпрометированный SQL Server пытался запустить вредоносный скрипт PowerShell, который инициировал соединения с несколькими внешним IP-адресами. Скрипт запускал вредоносное ПО замаскированное под .png файлы, расположенные на этих IP адресах, с использованием атрибута MsiMake, что очень напоминает поведение вредоноса PurpleFox», — объясняет Солдатов.
Решения Kaspersky Endpoint Security для бизнеса и Kaspersky Managed Detection and Response успешно детектируют такие атаки.
Полную версию отчёта можно прочитать на Securelist.ru.
Чтобы защитить компанию от подобных угроз, эксперты «Лаборатории Касперского» рекомендуют: