近日，Securonix威脅研究團隊發現，一群出于經濟動機的土耳其黑客正在攻擊全球范圍內的微軟SQL(MSSQL)服務器，并使用Mimic(N3ww4v3)勒索軟件加密受害者的文件。

這些正在進行的攻擊代號為RE#TURGENCE，主要針對歐盟、美國和拉丁美洲的目標。

發現該活動的Securonix威脅研究團隊表示：“分析顯示，此類攻擊活動的結束方式主要有兩種：要么出售受感染主機的訪問權，要么最終交付勒索軟件有效負載。”

“從初始訪問到部署Mimic勒索軟件，事件發生的時間周期大約為一個月。”

針對目標：配置不安全的微軟SQL服務器

據報道，攻擊者主要通過暴力攻擊入侵在線暴露的，配置不安全的MSSQL數據庫服務器。然后使用系統存儲的xp_cmdshell進程生成一個與SQL Server服務帳戶具有相同安全權限的Windows命令shell。

xp_cmdshell默認處于禁用狀態，因為惡意行為者經常使用它來提升權限，而且啟動該進程通常會觸發安全審核工具。

在下一階段，攻擊者使用一系列PowerShell腳本和內存反射技術部署高度混淆的CobaltStrike有效負載，最終目標是將其注入到Windows原生進程SndVol.exe中。

攻擊者還下載并啟動AnyDesk遠程桌面應用程序作為服務，然后開始收集使用Mimikatz提取的明文憑據。

使用高級端口掃描程序掃描本地網絡和Windows域后，攻擊將蔓延到網絡上的其他設備，并使用之前竊取的憑據入侵域控制器。

通過AnyDesk投放勒索軟件

然后，攻擊者通過AnyDesk將Mimic勒索軟件有效載荷部署為自解壓存檔，使用合法的Everything應用程序搜索要加密的文件，該技術于2023年1月首次被安全人員觀察到。

“Mimic將刪除用于輔助加密過程的Everything二進制文件。在我們的案例中，Mimic投放程序‘red25.exe’刪除了所有必要的文件，以便主要勒索軟件有效負載能完成其目標，”Securonix表示。

“加密過程完成后，red.exe進程會發送加密/付款通知，該通知以“—IMPORTANT—NOTICE—.txt”的文本格式保存在受害者的C盤上。”

安全媒體BleepingComputer發現，Mimic勒索軟件通知中使用的電子郵件(datenklause0@gmail.com)與Phobos勒索軟件存在關聯。Phobos于2018年首次出現，是源自Crysis勒索軟件家族的勒索軟件即服務（RaaS）。

Securonix去年還曝光了另一個針對MSSQL服務器的活動（跟蹤代號為DB#JAMMER），使用相同的暴力初始訪問攻擊并部署FreeWorld勒索軟件（Mimic勒索軟件的別名）。