بات‌نت جدید که سرورهای MS-SQL را ربوده و چارچوب C2 متن‌باز XiebroC2 را مستقر می‌کند

یک کمپین هدف‌گیری سرورهای Microsoft SQL که به‌درستی محافظت نشده‌اند شناسایی شده است. بازیگران تهدید با سوءاستفاده از اعتبارنامه‌های ضعیف یا در معرض اینترنت قرار گرفته، دسترسی اولیه را به‌دست می‌آورند و سپس با استفاده از دستورات PowerShell چارچوب متن‌باز XiebroC2 را بارگذاری می‌کنند تا دسترسی پایدار برقرار کنند. این چارچوب که implant آن به زبان Go نوشته شده، قابلیت اجرا روی چند پلتفرم را دارد و پس از استقرار برای جمع‌آوری داده‌ها، اجرای فرمان از راه دور و استفاده از منابع سیستم (مثلاً برای استخراج ارز یا سایر فعالیت‌های مخرب) به‌کار گرفته می‌شود. ترکیب نفوذ مبتنی بر اعتبار و تکنیک‌های ارتقای امتیاز نشان می‌دهد که در صورت رعایت نکردن کنترل‌های پایه‌ای امنیتی، دامنهٔ تهدید می‌تواند قابل‌توجه باشد.

جزئیات حمله / اهداف و بردارها

• بردار اولیه: استفاده از اعتبارنامه‌های ضعیف یا پیش‌فرض روی سرورهای MS-SQL که از طریق اینترنت در دسترس‌اند.

• مرحلهٔ پس از نفوذ: مهاجمان پس از ورود اولیه از تکنیک‌های ارتقای امتیاز (مانند بهره‌برداری از روش‌هایی مشابه JuicyPotato) برای بالا بردن سطح دسترسی سرویس به سطح مدیریتی استفاده می‌کنند.

• استقرار payload: با دسترسی ارتقا یافته، مهاجمان دستورات PowerShell اجرا می‌کنند تا چارچوب XiebroC2 را دانلود و اجرا کنند؛ این implant توانایی برقراری ارتباط رمزگذاری‌شده با سرور فرمان‌و‌کنترل را دارد.

• اهداف نهایی: ایجاد دسترسی پایدار، جمع‌آوری اطلاعات محیطی (process IDs، شناسه‌های سخت‌افزاری، مسیرها و مدارک احتمالی)، و سپس بهره‌برداری از سیستم برای استخراج ارز، اجرای دستورات از راه دور یا نگهداری دسترسی برای استفادهٔ بعدی.

توضیح فنی (چطور کار می‌کند)

• XiebroC2 یک چارچوب C2 متن‌باز با implant نوشته‌شده به Go است که امکاناتی مانند اجرای شل معکوس، مدیریت فایل، کنترل پردازش‌ها و نظارت شبکه را ارائه می‌دهد و قابلیت اجرا روی Windows، Linux و macOS را دارد.

• مسیر معمول حمله: (1) احراز هویت موفق به MS-SQL، (2) ارتقای امتیازات سرویس به سطح مدیریتی، (3) اجرای PowerShell برای بارگیری و اجرای implant، (4) برقراری کانال رمزگذاری‌شده با سرور C2 و اجرای دستورات.

• پس از استقرار، چارچوب اطلاعات محیطی را جمع‌آوری می‌کند و امکان اجرای دستورات از راه دور، بارگیری/بارگذاری فایل و اجرای فعالیت‌های مخرب را فراهم می‌سازد. طراحی و عملکرد چارچوب به مهاجمان کمک می‌کند که از شناسایی فرار کرده و پایداری را حفظ کنند.

وضعیت فعلی تهدید

• کمپین مبتنی بر نفوذ از طریق اعتبار مشاهده شده و نمونه‌هایی از استفادهٔ XiebroC2 همراه با payloadهای استخراج ارز گزارش شده‌اند.

• متن‌باز بودن چارچوب و سهولت دسترسی به آن، ترکیب با بردار نفوذ ساده (اعتبارنامه‌های ضعیف) و تکنیک‌های ارتقای امتیاز را برای بازیگران تهدید جذاب‌تر و خطرناک‌تر می‌کند. در نتیجه، اگر کنترل‌های پایه‌ای رعایت نشود، این کمپین می‌تواند دامنهٔ گسترده‌ای از سرورها را هدف قرار دهد.

چگونه از خود محافظت کنیم؟ (اقدامات فوری و توصیه‌شده)

1. دسترسی عمومی به دیتابیس را محدود کنید: در صورت امکان دسترسی MS-SQL را از اینترنت حذف کرده و آن را پشت VPN یا شبکه مدیریت قرار دهید.

2. تقویت اعتبارنامه‌ها: از رمزهای عبور پیچیده و منحصر‌به‌فرد استفاده کنید، حساب‌های پیش‌فرض یا ضعیف را غیرفعال یا قفل کنید و در صورت امکان احراز هویت چندعاملی را فعال کنید.

3. پچ و به‌روزرسانی: سیستم‌عامل، SQL Server و ابزارهای وابسته را به‌روز نگه دارید تا از بهره‌برداری از آسیب‌پذیری‌های شناخته‌شده جلوگیری شود.

4. اصول حداقلی امتیاز: سرویس‌های دیتابیسی را با حداقل امتیازات لازم اجرا کنید تا در صورت نفوذ، توانایی مهاجم برای حرکت جانبی و ارتقای امتیاز محدود شود.

5. نظارت و تشخیص: لاگ‌های دسترسی و فعالیت‌ها را پایش کنید؛ رفتارهای غیرمعمول مثل اجرای PowerShell از حساب سرویس، ارتباط‌های رمزنگاری‌شده با IPهای ناشناس یا پروسه‌های استخراج ارز را هشدار دهید.

6. برنامهٔ واکنش: طرح قرنطینه و بازیابی داشته باشید — در صورت شناسایی نفوذ، ارتباط شبکهٔ مخرب را قطع، نمونه‌های بدافزار را جمع‌آوری، سیستم‌ها را از شبکه جدا کرده و بازیابی از پشتیبان‌های معتبر را انجام دهید.

چرا این تهدید مهم است؟

قابلیت اجرا روی چند پلتفرم، متن-باز بودن چارچوب XiebroC2 و راه نفوذ ساده مبتنی بر اعتبار باعث شده این کمپین برای بازیگران تهدید جذاب و آسان باشد. موفقیت در چنین حملاتی می‌تواند به استقرار backdoorهای پایدار، سرقت داده‌ها، و استفاده از منابع سیستم برای استخراج ارز یا سایر فعالیت‌های مخرب منجر شود؛ بنابراین رعایت اصول پایهٔ هاردنینگ، تقویت اعتبارنامه‌ها و پایش مداوم از اهمیت حیاتی برخوردار است