Всплеск атак на MS-SQL с использованием XiebroC2

Аналитический центр безопасности AhnLab (ASEC) зафиксировал увеличение числа атак, нацеленных на неправильно настроенные серверы Microsoft SQL (MS-SQL). Особое внимание исследователей привлекла платформа управления XiebroC2 (C2) — общедоступный инструмент, используемый злоумышленниками для координации вредоносной активности, схожей с возможностями Cobalt Strike.

Что обнаружил ASEC

Аналитический центр безопасности AhnLab (ASEC) обнаружил всплеск атак, нацеленных на неправильно сконфигурированные серверы Microsoft SQL (MS-SQL), в частности, подчеркнув использование платформы управления XiebroC2 (C2).

По данным отчёта, злоумышленники эксплуатируют слабые места конфигурации, недостаточную аутентификацию и отсутствие системного управления исправлениями, чтобы получить контроль над серверами баз данных и расширить доступ в сеть жертвы.

Чем опасен XiebroC2

XiebroC2 — это публично доступный фреймворк C2, предоставляющий функциональность для:

• сбора информации с скомпрометированных систем;
• поддержания удалённого контроля;
• реализации методов обхода средств обнаружения.

Появление таких инструментов в атаках на MS-SQL подчёркивает растущую тенденцию: злоумышленники всё активнее используют общедоступные C2-фреймворки для эксплуатации неправильно управляемых серверов баз данных.

Почему MS-SQL-серверы уязвимы

Основные факторы, делающие MS-SQL-серверы привлекательной целью:

• неправильная конфигурация служб и портов;
• слабые или отсутствующие механизмы аутентификации;
• отсутствие регулярного применения исправлений и патчей.

Используя эти слабые места, злоумышленники могут добиться значительного контроля над серверами, что потенциально приводит к утечкам данных и дальнейшему распространению в сети организации.

Последствия и тенденции

Интеграция XiebroC2 в атакующие сценарии демонстрирует универсальность и адаптивность злоумышленников: они комбинируют доступность публичных инструментов с эксплуатацией управленческих ошибок администраторов. Это создаёт повышенный риск для организаций, которые не поддерживают надлежащие меры безопасности для своих баз данных.

Рекомендации по защите

Для снижения рисков ASEC подчёркивает необходимость следующих мер:

• обеспечить корректную конфигурацию MS-SQL-серверов;
• внедрить надёжные механизмы аутентификации и управления доступом;
• регулярно применять исправления и обновления (patch management);
• проводить постоянную оценку уязвимостей и мониторинг подозрительной активности;
• ограничить внешний доступ к серверу базы данных и минимизировать атакуемую поверхность.

Вывод

Всплеск атак с использованием XiebroC2 на неправильно сконфигурированные MS-SQL-серверы ещё раз напоминает: наличие публичных C2-фреймворков увеличивает скорость и масштабируемость атак, а ошибки в управлении серверами превращают базы данных в «удобную цель». Комплексные меры безопасности — от конфигурации до непрерывного анализа уязвимостей — становятся критически важными для защиты от подобных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.