Adversarios Hackean Servidores Microsoft SQL para Instalar Proxyware y Robar Ancho de Banda

Los analistas de seguridad informan de un número creciente de casos de abuso adverso de software llamado ‘proxyware’. Los usuarios pueden instalar proxyware (operado a través de la aplicación cliente) y convertirse en donantes de ancho de banda compartiendo su conexión a internet mediante servicios como Peer2Profit e IPRoyal. Los anfitriones, incentivados con recompensas monetarias, permiten a otros usuarios acceder a la web desde su ubicación para diversos propósitos.

Los actores de amenazas descargan y ejecutan ilícitamente proxyware en sistemas comprometidos, robando el ancho de banda de red de las víctimas para obtener ganancias financieras. Actualmente, hay evidencia creciente de que hackers criminales apuntan a servidores MS-SQL vulnerables, usan paquetes de adware y propagan malware para convertir máquinas hackeadas en proxies.

Detección de Programas Proxyware Ilícitos

Detecte si su sistema fue infectado con proxyware utilizando una regla de Sigma publicada por un prolífico Programa de Recompensas para Amenazas desarrollador Onur Atali. La detección identifica los nombres de archivos del malware utilizado por el malware Proxyware:

Herramienta de Detección de Atacante Proxyware (via file_event)

Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix, Snowflake y Open Distro.

La regla está mapeada al framework MITRE ATT&CK® v.10, abordando la táctica de Ejecución con Intérprete de Comandos y Scripts (T1059), Ejecución de Usuario (T1204) como las técnicas principales.

Las empresas necesitan soluciones precisas, basadas en la exposición, que eliminen el ruido, identifiquen las verdaderas amenazas de seguridad y permitan soluciones prácticas y rentables. Todo lo anterior y más está disponible para los usuarios registrados de la Plataforma SOC Prime. Presiona el botón Detect & Hunt para explorar más de 200,000 detecciones completamente curadas y verificadas. Los usuarios no registrados pueden acceder al kit de reglas dedicadas a proxyware y la metadata contextual relevante presionando el botón Explore Threat Context Análisis de Infección de Proxyware

Detect & Hunt Explore Threat Context

equipo de análisis de ASEC

The reveló adversarios que han estado adoptando con éxito un método menos común para generar ingresos. Los investigadores identificaron malware que permite a hackers criminales secuestrar dispositivos, usándolos como proxies sin el conocimiento de los anfitriones. Los actores de amenazas ejecutan proxyware para permitir que usuarios remotos aprovechen los recursos de la máquina infectada para varias tareas, con los atacantes recibiendo su beneficio a través de los servicios Peer2Profit e IPRoyal. Este enfoque de secuestro es similar al de la minería de revealed adversaries that have been successfully adopting a less common method to generate revenue. The researchers identified malware that enables criminal hackers to hijack devices, using them as proxies without the hosts’ knowledge. Threat actors execute proxyware to enable remote users to leverage the infected machine’s resources for various tasks, with attackers receiving their profit via Peer2Profit and IPRoyal services. This hijacking approach is similar to that of illegal criptomonedas ilegal.

Detecte intrusiones y resista ciberataques con mejor eficiencia y velocidad proporcionada por la plataforma de Detección como Código de SOC Prime. Detecte amenazas dentro de su entorno de seguridad y mejore la cobertura de la fuente de registros y de MITRE ATT&CK para llevar su defensa al siguiente nivel.