Встроенная утилита на целевых SQL-серверах позволяет хакерам закрепляться в системе без сторонних файлов

Во вторник компания Microsoft сообщила о обнаружении активной хакерской кампании, использующей исполняемый файл PowerShell целевых SQL-серверов для закрепления во взломанных системах. Новые атаки с методом полного перебора отличаются от старых использованием утилиты sqlps.exe , как сообщила компания в официальном Twitter-аккаунте. Цели и организаторы вредоносной кампании неизвестны. Microsoft отслеживает вредоносное ПО под названием SuspSQLUsage .

Утилита sqlps.exe по умолчанию поставляется со всеми версиями SQL Servers и позволяет SQL Agent (службе для выполнения запланированных задач) запускать задания с помощью подсистемы PowerShell.

"Злоумышленники пытаются закрепиться в системе без сторонних файлов, вызывая утилиту sqlps.exe – оболочку PowerShell для запуска встроенных в SQL команд. После этого хакеры выполняют разведку и изменяют режим запуска службы SQL на LocalSystem.", – отметили в Microsoft.

Кроме того, злоумышленники были замечены в использовании sqlps.exe для создания новой учетной записи с правами системного администратора . что позволяет получить полный контроль над SQL-сервером.

Это уже не первый случай, когда злоумышленники пользуются LotL-атакой для достижения своих гнусных целей.

Атака Living of the Land (LotL) – это атака с использованием легитимных файлов, процессов и функций целевой системы. Ее преимуществом является отсутствие каких-либо сторонних файлов, ведь злоумышленники просто сливаются с обычной сетевой активностью и административными задачами, получая возможность скрываться в системе на протяжении очень долгого времени..

"Использование столь необычного исполняемого файла в LotL-атаке подчеркивает важность получения полной информации о поведении скриптов во время их выполнения.", – подвела итоги Microsoft.