Уязвимые серверы Microsoft SQL используются для развертывания Cobalt Strike
ИБ-эксперты из Ahn Lab обнаружили новую волну атак на уязвимые серверы Microsoft SQL (MS SQL), в ходе которых на машины устанавливают маяки Cobalt Strike, что приводит к более глубокому проникновению в сеть жертвы и последующему заражению вредоносным ПО, пишет Хакер.
Атаки начинаются с того, что злоумышленники ищут серверы с открытым TCP-портом 1433, которые, вероятно, представляют собой серверы MS-SQL. Затем хакеры осуществляют брутфорс-атаку и взламывают пароль администратора (то есть целевой пароль должен быть весьма слабым).
Получив доступ к учетной записи администратора и проникнув на сервер, злоумышленники развертывают там криптовалютные майнеры, такие как Lemon Duck, KingMiner и Vollgar, а также создают бэкдор с помощью Cobalt Strike, чтобы закрепиться в системе и позже осуществить боковое перемещение.
Маяки Cobalt Strike загружаются через cmd.exe и powershell.exe, а внедряются и выполняются в MSBuild.exe, чтобы избежать обнаружения. После выполнения маяк встраивается в легитимный процесс wwanmm.dll, где и ожидает команд от своих операторов, оставаясь скрытым внутри системного файла.
Эксперты напоминают, что для защиты от таких атак стоит использовать надежный пароль, размещать сервер за брандмауэром, регистрировать и отслеживать любые подозрительные действия, а также своевременно устанавливать доступные обновления безопасности.
Cobalt Strike — это легитимный коммерческий инструмент, созданный для пентестеров и red team и ориентированный на эксплуатацию и постэксплуатацию. К сожалению, он давно любим хакерами, начиная от правительственных APT-группировок и заканчивая операторами шифровальщиков.
Хотя инструмент недоступен для рядовых пользователей и полная версия оценивается примерно в 3500 долларов за установку, злоумышленники все равно находят способы его использовать (к примеру, полагаются на старые, пиратские, взломанные и незарегистрированные версии).
Теги:
похожие материалы
Роскомнадзор назвал страны-источники вредоносного трафика
Роскомнадзор сообщил, что доля зарубежного вредоносного трафика, поступающего в Россию, во втором полугодии 2025 года оставалась стабильно высокой.
Мошенники захватывают опубликованные домены Snap Email для распространения вредоносного ПО
Исследователи по кибербезопасности обнаружили новую тактику злоумышленников, которые используют захваченные опубликованные домены проекта Snap Email для размещения вредоносного ПО и фишинговых материалов.
Исследователи «перехватили» куки у авторов одного из крупнейших cookie-стилеров
Специалисты по кибербезопасности из CyberArk Labs рассказали о необычном случае исследования вредоносного ПО - им удалось извлечь активные session-cookies из инфраструктуры самого стилера, который предназначен для кражи куки у пользователей.
Приложения в App Store сливают данные пользователей
Исследователи обнаружили в App Store сотни приложений, сливающих пользовательские данные — от имён и адресов электронной почты до истории чатов.
Мошенники используют игру в кости в Telegram для обмана пользователей
В мессенджере Telegram злоумышленники начали применять схему обмана, основанную на виртуальной игре в кости, чтобы выманивать у людей деньги и личные данные.
Автоматизация инфраструктуры стала удобнее: клиентам Astra Automation доступна Ansible-коллекция для управления VMmanager
«Группа Астра» сообщает о новой интеграции платформы Astra Automation.
МВД предупредило о мошенничестве с совместными поездками и фейковыми чатами
В начале 2026 года мошенники начали активно использовать схему обмана, связанную с совместными поездками и поиском попутчиков.
Согласно исследованию OpenRouter, модели искусственного интеллекта из Китая становятся все более популярными
В 2024 году доля ИИ из Китая на мировом рынке составляла всего 1%, но в ноябре 2025 года она уже выросла до 15%.
Мошенники готовятся атаковать бизнес в России на фоне повышения ставки НДС
Мошенники начали готовиться к новой волне атак на российские компании на фоне повышения базовой ставки НДС до 22% с 1 января 2026 года.
Google и Mandiant выпустили «rainbow tables», чтобы ускорить отказ от протокола Net-NTLMv1
Специалисты по кибербезопасности из Google Threat Intelligence Group и Mandiant опубликовали большой набор так называемых «rainbow tables» для протокола аутентификации Net-NTLMv1.