استفاده از سرورهای MSSQL برای توزیع بدافزار

یک بار گیرنده بدافزاری جدید از طریق چندین کمپین توزیع میشود، و از مایکروسافت اِس کیو اِل (Microsoft SQL) و روشهای فرار از تشخیص استفاده میکند تا پیلودهای مخرب را روی ماشینهای در معرض خطر پیاده کند.
این بدافزار، که توسط پژوهشگران با نام WhiteShadow شناخته میشود، در قالب مجموعهای از ماکروهای مایکروسافت آفیس طراحی شده است تا با همکاری یکدیگر، اهداف خود را از طریق بارگیری بدافزار از سرورهای مایکروسافت اس کیو ال آلوده کنند.
WhiteShadow از طریق ایمیلهای حاوی URLهای مخرب یا مایکروسافت ورد و پیوستهای مایکروسافت اکسل ارایه میشود که پس از اجرا، پیلودهای بدافزار را نصب میکند.
تیم تحقیقاتی Proofpoint چندین کمپین مخرب را مشاهده کرده که به توزیع برنامه بارگیرنده WhiteShadow مشغول هستند و تقریباً دهها مورد از آنها در ماه آگوست شناسایی شدند.
در حالی که، در ابتدا، نویسندگان بدافزار سعی میکردند تا هیچ گونه روشی را برای جلوگیری از تشخیص اضافه نکنند، در طول مبارزات بعدی، آنها به آرامی روشهای مختلفی را برای فرار از ردیابی بکار گرفتند.
مهاجمان همچنین Agent Tesla ،AZORult ،Nanocore ،njRat ،Orion Logger ،Remcos و رشتههای کیلاگر (keylogger) را نیز توزیع کردند.
به نظر میرسد WhiteShadow یکی از اجزای سرویس تحویل بدافزار است، که شامل یک نمونه اجارهای از سرور Microsoft SQL برای میزبانی پیلودهای بازیابی شده توسط بارگیرنده است.
این یک سرویس جدید ارایه نرمافزارهای مخرب است، و این امکان را برای طیف وسیعی از بازیگران تهدید فراهم میکند که به طور بالقوه بارگیری و زیرساخت همراه سرور Microsoft SQL را در حملات خود بگنجانند.
سازمانها باید هم از طریق ایمیل مخرب ورودی و هم از ترافیک بیرونی در پورت TCP 1433 آگاه باشند، که امروزه باید در تنظیمات مدرن ACL در فایروالها مسدود شده یا حداقل محدود شوند.