近日，美國、歐盟和拉美（LATAM）地區的微軟 SQL（MS SQL）服務器安全狀況不佳，因而被土耳其黑客盯上，成為了其正在進行的以獲取初始訪問權限為目的的金融活動的攻擊目標。

Securonix 研究人員 Den Iuzvyk、Tim Peck 和 Oleg Kolesnikov 在與《黑客新聞》共享的一份技術報告中提到：威脅活動一般會以以下兩種方式結束：要么是出售被入侵主機的訪問權，要么是最終交付勒索軟件有效載荷。

Securonix 網絡安全公司將此次土耳其黑客發起的攻擊行動命名為 "RE#TURGENCE"。此次行動與 2023 年 9 月曝光的名為 DB#JAMMER 的活動如出一轍。都是先對服務器的初始訪問需要進行暴力破解攻擊，然后使用 xp_cmdshell 配置選項在被入侵主機上運行 shell 命令，以便從遠程服務器檢索 PowerShell 腳本打好基礎，然后由該腳本負責獲取經過混淆的 Cobalt Strike beacon 有效載荷。最后，黑客會利用后剝削工具包從掛載的網絡共享中下載 AnyDesk 遠程桌面應用程序，以訪問機器并下載其他工具，如 Mimikatz 以獲取憑據，以及高級端口掃描器以進行偵查。

橫向移動是通過一種名為 PsExec 的合法系統管理實用程序完成的，它可以在遠程 Windows 主機上執行程序。

該攻擊鏈最終以部署 Mimic 勒索軟件而達到高潮，DB#JAMMER 活動中也使用了該勒索軟件的變種。

Kolesnikov告訴《黑客新聞》："這兩個活動中使用的指標和惡意TTP完全不同，因此很有可能是兩個不同的活動。也就是說，雖然最初的滲透方法類似，但 DB#JAMMER 更復雜一些，使用了隧道技術。相比之下RE#TURGENCE 更有針對性，傾向于使用合法工具以及 AnyDesk 等遠程監控和管理工具，試圖混入正常活動中。

Securonix表示，它發現了威脅行為者的操作安全（OPSEC）失誤，由于AnyDesk的剪貼板共享功能已啟用，因此它可以監控剪貼板活動。這樣就有機會收集到他們的在線別名 atseverse，該名稱還與 Steam 和土耳其一個名為 SpyHack 的黑客論壇上的個人資料相對應。

研究人員提醒說：一定要避免將關鍵服務器直接暴露在互聯網上。在 RE#TURGENCE 的情況下，攻擊者可以直接從主網絡外部強行進入服務器。