كشف تقرير أنجزه باحثين في مجال الأمن السيبراني أن حملة البرامج الضارة المستمرة تستهدف أجهزة Windows التي تعمل على خوادم Microsoft SQL (MS-SQL) لنشر الأبواب الخلفية وتشغيل أنواع متعددة من البرامج الضارة ، بما في ذلك أدوات الوصول عن بعد متعددة الوظائف (RATs) والخوادم المشفرة.

إن عرض خوادم MS-SQL على الإنترنت باستخدام بيانات اعتماد ضعيفة ليس أفضل الممارسات. قد يفسر هذا كيف تمكنت هذه الحملة من إصابة حوالي 3 آلاف من أجهزة قاعدة البيانات يوميًا. ينتمي الضحايا إلى مختلف قطاعات الصناعة ، بما في ذلك الرعاية الصحية والطيران وتكنولوجيا المعلومات والاتصالات والتعليم العالي.

ظهرت الحادثة الأولى من هذه الحملة في ماي 2018 في شبكة أجهزة الاستشعار العالمية (GGSN) التابعة لـ Guardicore ، وهي شبكة من مصائد المصائد عالية التفاعل. خلال عامين من النشاط ، ظل تدفق هجوم الحملة متشابهًا دقيقا ومخطط له جيدًا . وقد دفعت ذروة عدد الحوادث في ديسمبر الماضي Guardicore إلى مراقبة الحملة وتأثيرها عن كثب.

من خلال تحليل ملفات سجل المهاجم ، تمكنت Guardicore من الحصول على معلومات حول الأجهزة المخترقة. فيما يتعلق بفترة الإصابة ، بقيت غالبية (60٪) الآلات المصابة على هذا النحو لفترة قصيرة فقط. ومع ذلك ، ما يقرب من 20 ٪ من جميع الخوادم المخترقة ظلت مصابة لأكثر من أسبوع وحتى أكثر من أسبوعين. هذا يثبت مدى نجاح الهجوم في إخفاء مساراته وتجاوز عمليات التخفيف مثل مضادات الفيروسات ومنتجات EDR.

لقد لاحظنا أن 10٪ من الضحايا أعيدوا إصابتهم بالبرامج الضارة. ربما قام مسؤول النظام بإزالة البرامج الضارة ، ثم تعرض لها مرة أخرى. وقد شاهدت Guardicore Labs هذا النمط من الإصابة مرة أخرى في تحليل حملة Smominru ، وتقترح أن إزالة البرامج الضارة غالبًا ما تتم بطريقة جزئية ، دون إجراء تحقيق متعمق في السبب الجذري للعدوى.

المصدر : Guardicore