استفاده از سرورهای MSSQL برای توزیع بدافزار

یک بار گیرنده بدافزاری جدید از طریق چندین کمپین توزیع می‌شود، و از مایکروسافت اِس کیو اِل (Microsoft SQL) و روش‌های فرار از تشخیص استفاده می‌کند تا پی‌لود‌های مخرب را روی ماشین‌های در معرض خطر پیاده کند.

این بدافزار، که توسط پژوهشگران با نام WhiteShadow شناخته می‌شود، در قالب مجموعه‌ای از ماکروهای مایکروسافت آفیس طراحی شده است تا با همکاری یکدیگر، اهداف خود را از طریق بارگیری بد‌افزار از سرورهای مایکروسافت اس کیو ال آلوده کنند.

WhiteShadow از طریق ایمیل‌های حاوی URLهای مخرب یا مایکروسافت ورد و پیوست‌های مایکروسافت اکسل ارایه می‌شود که پس از اجرا، پی‌لود‌های بدافزار را نصب می‌کند.

تیم تحقیقاتی Proofpoint چندین کمپین مخرب را مشاهده کرده که به توزیع برنامه بارگیرنده WhiteShadow مشغول هستند و تقریباً ده‌ها مورد از آنها در ماه آگوست شناسایی شدند.

در حالی که، در ابتدا، نویسندگان بدافزار سعی می‌کردند تا هیچ گونه روشی را برای جلوگیری از تشخیص اضافه نکنند، در طول مبارزات بعدی، آنها به آرامی روش‌های مختلفی را برای فرار از ردیابی بکار گرفتند.

مهاجمان همچنین Agent Tesla ،AZORult ،Nanocore ،njRat ،Orion Logger ،Remcos و رشته‌های کی‌لاگر (keylogger) را نیز توزیع کردند.

به نظر می‌رسد WhiteShadow یکی از اجزای سرویس تحویل بدافزار است، که شامل یک نمونه اجاره‌ای از سرور Microsoft SQL برای میزبانی پی‌لود‌های بازیابی شده توسط بارگیرنده است.

این یک سرویس جدید ارایه نرم‌افزارهای مخرب است، و این امکان را برای طیف وسیعی از بازیگران تهدید فراهم می‌کند که به طور بالقوه بارگیری و زیرساخت همراه سرور Microsoft SQL را در حملات خود بگنجانند.

سازمان‌ها باید هم از طریق ایمیل مخرب ورودی و هم از ترافیک بیرونی در پورت TCP 1433 آگاه باشند، که امروزه باید در تنظیمات مدرن ACL در فایروال‌ها مسدود شده یا حداقل محدود شوند.