Eine laufende Kampagne, die auf finanzielle Gewinne abzielt, hat es auf schlecht gesicherte Microsoft SQL (MS SQL) Server in den USA, der Europäischen Union und in Lateinamerika (LATAM) abgesehen. Ziel ist es, Zugang zu diesen Systemen zu erlangen. Die Kampagne wurde von Sicherheitsforschern der Firma Securonix unter dem Namen RE#TURGENCE identifiziert und wird mit türkischen Akteuren in Verbindung gebracht.
Der Zugang zu den Servern erfolgt durch Brute-Force-Angriffe, gefolgt vom Einsatz der xp_cmdshell-Konfigurationsoption, um Shell-Befehle auf dem kompromittierten Host auszuführen. Diese Aktivität ähnelt einer früheren Kampagne namens DB#JAMMER, die im September 2023 bekannt wurde.
Ein wichtiger Schritt dieser Kampagne ist das Abrufen eines PowerShell-Skripts von einem Remote-Server, das für das Herunterladen einer verschleierten Cobalt Strike Beacon-Last zuständig ist. Diese post-exploitation-Toolkit wird anschließend verwendet, um die AnyDesk Remote Desktop-Anwendung von einem Netzlaufwerk herunterzuladen, um Zugang zum System zu erhalten und zusätzliche Tools wie Mimikatz für das Harvesten von Anmeldeinformationen und Advanced Port Scanner für die Durchführung von Aufklärungsmaßnahmen herunterzuladen.
Die laterale Bewegung erfolgt mittels eines legitimen Systemadministrationswerkzeugs namens PsExec, das Programme auf entfernten Windows-Hosts ausführen kann. Diese Angriffskette mündet letztendlich in der Bereitstellung der Mimic-Ransomware, einer Variante, die auch in der DB#JAMMER-Kampagne verwendet wurde.
Laut Securonix-Forschern gibt es signifikante Unterschiede zwischen den beiden Kampagnen. Während die anfänglichen Infiltrationsmethoden ähnlich sind, war DB#JAMMER etwas ausgefeilter und nutzte Tunneling-Techniken. RE#TURGENCE ist zielgerichteter und verwendet legitime Tools und Remote-Monitoring- und Management-Lösungen wie AnyDesk, um sich in normaler Aktivität zu tarnen.
Ein von den Bedrohungsakteuren begangener Fehler bei der Betriebssicherheit (OPSEC) ermöglichte es Securonix, die Zwischenablage-Aktivitäten zu überwachen, da die Zwischenablagenfreigabefunktion von AnyDesk aktiviert war. Dadurch konnten die türkischen Ursprünge der Angreifer und ihr Online-Pseudonym atseverse aufgedeckt werden, was auch mit einem Profil auf Steam und einem türkischen Hacking-Forum namens SpyHack übereinstimmt.
Die Forscher raten dringend davon ab, kritische Server direkt dem Internet auszusetzen. Im Fall von RE#TURGENCE konnten die Angreifer direkt von außerhalb des Hauptnetzwerks in den Server eindringen.
