O AhnLab Security Intelligence Center (ASEC) emitiu um alerta sobre uma nova campanha de ataques cibernéticos que mira servidores MS-SQL mal configurados. Os criminosos estão utilizando o framework de Comando e Controle (C2) de código aberto XiebroC2, que oferece funções avançadas de evasão e controle remoto, semelhantes às do famoso CobaltStrike.
O incidente foi confirmado em um servidor exposto à internet, que possivelmente utilizava credenciais fracas ou comprometidas. Antes da instalação do XiebroC2, o mesmo sistema já havia sido alvo de outras tentativas de infecção, incluindo o CoinMiner, malware amplamente usado para mineração ilegal de criptomoedas em servidores vulneráveis.
De acordo com o ASEC, o ataque segue um padrão específico: após obter acesso inicial, os invasores implantam o malware JuicyPotato, usado para escalar privilégios dentro do sistema. Como os processos do MS-SQL normalmente operam com permissões limitadas, os hackers recorrem a exploits como o Potato e suas variações (como o JuicyPotato) para elevar o nível de acesso e executar comandos com permissões administrativas.
Com privilégios expandidos, o próximo passo é o download e execução do XiebroC2 via PowerShell. O framework, de código-fonte público, inclui um backdoor multiplataforma desenvolvido em Go, compatível com Windows, Linux e macOS. Uma vez ativo, o XiebroC2 concede ao invasor acesso completo ao sistema, permitindo execução de comandos remotos, gerenciamento de arquivos, monitoramento de rede, proxy reverso e captura de tela.
Os ataques contra servidores MS-SQL normalmente ocorrem por meio de força bruta ou ataques de dicionário, explorando senhas fracas e políticas de autenticação negligenciadas. Diante do aumento dessas campanhas, o ASEC reforça a importância de medidas preventivas.
A instituição recomenda o uso de senhas complexas e exclusivas, mudanças periódicas de credenciais e firewalls configurados adequadamente para bloquear acessos externos indevidos. Sem essas medidas, servidores MS-SQL permanecem expostos a infecções recorrentes por malware e perda de controle total para cibercriminosos.
