با این که این اولین باری نیست که سرورهای MSSQL هدف چنین حملاتی قرار می‌گیرند، اما محققان اعلام کرده‌‌اند که مهاجمان در این کارزار از ابزار معتبر SQLPS استفاده می‌کنند تا فرامین SQL Server PowerShell را اجرا کنند.
استفاده از ابزارها و توابع عادی و سالم سیستم‌عامل و دیگر نرم‌افزارهای کاربردی توسط مهاجمان سایبری برای اهداف خرابکارانه خود بر روی سیستم قربانی، یکی از روش‌های جدید برای مخفی ماندن و شناسایی نشدن توسط سیستم‌های امنیتی است. به این روش “کسب روزی از زمین” یا Living off the Land – به‌اختصار LotL – گفته می‌شود.
تیم اطلاعات امنیتی مایکروسافت اعلام کرده است که مهاجمان با به‌کارگیری ابزار sqlps.exe بدون ایجاد فایل‌های جدید بر روی سیستم و در نتیجه مخفی ماندن طولانی  ‌مدت از دید سیستم‌های امنیتی، دستوراتی را برای رصد سیستم و تغییر حالت شروع سرویس SQL به LocalSystem، اجرا می‌کنند.
مهاجمان همچنین از ابزارsqlps.exe  برای ایجاد یک حساب کاربری جدید و افزودن آن به نقش sysadmin، استفاده می‌کنند تا به آنها امکان کنترل کامل سرور SQL را بدهد. ازاین‌رو آنها توانایی انجام سایر اقدامات نظیر اجرای کدهای مخرب همچون استخراج‌کننده رمزارز را به دست می‌آورند.
استفاده از SQLPS کمک می‌کند مهاجمان هیچ ردی از خود باقی نگذارند تا هنگام تحلیل حملات، آنان قابل‌شناسایی نباشد. استفاده از SQLPS روشی مؤثر برای دورزدن قابلیت Script Block Logging است، در غیر این صورت، دستورات اجرا شده در Windows Event Log ثبت و ضبط می‌شوند.

حملات مشابهی علیه سرورهای MSSQL در فروردین 1401 گزارش شده است که این سرورها برای بارگذاری Gh0stCringe (معروف به CirenegRAT)، هدف قرار گرفتند. Gh0stCringe نوعی «تروجان» است که شرایط دسترسی غیرمجاز از راه دور (Remote Access Trojan) را برای مهاجمان فراهم می‌کند.
در کارزار قبلی در بهمن 1400، مهاجمان سرورهای MSSQL را هک کردند تا از فرمان Microsoft SQL xp_cmdshell جهت تزریق ابزار Cobalt Strike  استفاده کنند.
بااین‌حال، سال‌های زیادی است که سرورهای MSSQL در کارزارهای گسترده هدف قرار می‌گیرند. مهاجمان همواره در تلاش هستند تا روزانه هزاران سرور آسیب‌پذیر را برای دستیابی به اهداف نهایی مختلف، هک کنند.
یکی از این مجموعه حملات که به Vollgar مشهور شد و تقریباً دو سال طول کشید، مهاجمان از طریق حملات Brute-force استخراج‌کننده‌های رمزارز همچون Monero (XMR) و Vollar (VDS) را بر روی سرورها کار گذاشتند و با نصب بدافزارهایی بر روی 2 هزار تا 3 هزار سرور، دسترسی غیرمجاز از راه دور بر روی آنها ایجاد کردند.
به راهبران امنیتی توصیه می‌شود برای محافظت از سرورهای MSSQL ، اقدامات زیر را در دستور کار قرار دهند:
سرورهای MSSQL به اینترنت متصل نباشند،
برای حساب کاربری ادمین یک رمز عبور پیچیده انتخاب شود به‌گونه‌ای که قابل حدس زدن یا نفوذ از طریق روش “سعی و خطا” (Brute-force) نباشد.
سرور در پشت فایروال (دیواره آتش) قرار داده شود.
گزارش‌گیری (Logging) فعال باشد تا هرگونه فعالیت‌های مشکوک یا غیرمنتظره یا تلاش‌های مکرر برای ورود به سیستم دراسرع‌وقت شناسایی شوند.
برای کاهش سطح و وسعت حمله، آخرین به‌روزرسانی‌های امنیتی اعمال شوند و حملاتی مسدود شوندکه بهره‌جوها (Exploit) را برای سوءاستفاده از آسیب‌پذیری‌های شناخته شده به کار می‌گیرند.

منبع: