Les experts de Kaspersky ont constaté une augmentation des attaques utilisant les processus de Microsoft SQL Server, un système de gestion de bases de données utilisé dans le monde entier, aussi bien par des multinationales que par des PME. En septembre 2022, le nombre de serveurs SQL touchés s’élevait à plus de 3 000 unités, soit une croissance de 56 % par rapport à la même période l’année précédente. Ces attaques ont été efficacement identifiées par la solution Kaspersky Endpoint Security for Business et Managed Detection and Response.
Le nombre d’attaques suivant ce procédé a progressivement augmenté au cours de l’année dernière, et a dépassé la barre des 3000 attaques tous les mois depuis avril 2022, à l’exception d’une légère baisse enregistrée en juillet et août.

« Malgré la popularité de Microsoft SQL Server, les entreprises n’accordent peut-être pas une importance suffisante à la protection contre les menaces qui peuvent cibler ce logiciel. Les attaques utilisant des jobs SQL Server malveillants ne sont pas une nouveauté, mais elles sont toujours utilisées par les cybercriminels pour accéder à l’infrastructure d’une entreprise », a déclaré Sergey Soldatov, responsable du centre des opérations de sécurité chez Kaspersky.

Un incident particulier : les scripts PowerShell et les fichiers .PNG

Dans le nouveau rapport consacré aux incidents Managed Detection and Response les plus intéressants, les chercheurs de Kaspersky décrivent une attaque employant des jobs Microsoft SQL Server, une séquence de commandes exécutées par l’agent du serveur.
« Les agents malveillants ont tenté de modifier la configuration du serveur afin d’accéder au shell pour exécuter un malware via PowerShell. Le serveur SQL corrompu tente d’exécuter des scripts PowerShell malveillants, générant une connexion à des adresses IP externes. Ce script PowerShell exécute le malware déguisé en fichier .png à partir de cette adresse IP externe en utilisant l’attribut "MsiMake", très similaire au fonctionnement du malware PurpleFox", explique M. Soldatov.

Un exemple de tâches SQL contenant des commandes PowerShell obscurcies

Pour protéger les entreprises contre les menaces, les experts de Kaspersky recommandent de mettre en œuvre les mesures suivantes :
• Maintenez toujours les logiciels à jour sur tous les appareils que vous utilisez pour empêcher les cyberpirates d’infiltrer votre réseau en exploitant ses vulnérabilités. Installez les correctifs édités pour couvrir les nouvelles vulnérabilités dès que possible. Une fois un correctif téléchargé, les acteurs de la menace ne peuvent plus exploiter la vulnérabilité concernée.
• Utilisez les informations les plus récentes en matière de renseignements sur les menaces pour rester au courant des TTP réels utilisés par les acteurs de la menace.
• Choisissez une solution de sécurité des points de terminaux fiable, telle que Kaspersky Endpoint Security for Business, qui est dotée de fonctions de détection basées sur le comportement et de contrôle des anomalies pour une protection optimale contre les menaces connues et inconnues.
• Des services dédiés peuvent aider à combattre les attaques de grande envergure. Le service Kaspersky Managed Detection and Response permet d’identifier et de stopper les intrusions à un stade précoce, avant que les auteurs ne parviennent à leurs fins. Si vous êtes confronté à un incident, le service Kaspersky Incident Response vous aidera à réagir et à minimiser les conséquences, en particulier à identifier les nœuds compromis et protéger l’infrastructure contre des attaques similaires à l’avenir.