Microsoft a averti mardi qu’il avait récemment repéré une campagne malveillante ciblant les serveurs SQL qui exploite un binaire PowerShell intégré pour assurer la persistance sur les systèmes compromis. Les intrusions, qui exploitent les attaques par force brute comme vecteur de compromis initial, se distinguent par leur utilisation de l’utilitaire « sqlps.exe », a déclaré le géant de la technologie dans une série de tweets. Les objectifs ultimes de la campagne sont inconnus, tout comme l’identité de l’acteur menaçant qui l’organise. Microsoft suit le logiciel malveillant sous le nom de « SuspSQLUsage ». L’utilitaire sqlps.exe, fourni par défaut avec toutes les versions de SQL Servers, permet à un agent SQL (un service Windows d’exécuter des tâches planifiées) d’exécuter des tâches à l’aide du sous-système PowerShell. « Les attaquants obtiennent une persistance sans fichier en engendrant l’utilitaire sqlps.exe, un wrapper PowerShell pour exécuter des applets de commande SQL, pour exécuter des commandes de reconnaissance et changer le mode de démarrage du service SQL en LocalSystem », a noté Microsoft.
De plus, les attaquants ont également été observés en utilisant le même module pour créer un nouveau compte avec le rôle sysadmin, permettant ainsi de prendre le contrôle de SQL Server et de déployer des charges utiles telles que des mineurs de crypto-monnaie. Ce n’est pas la première fois que des acteurs de la menace militarisent des binaires légitimes déjà présents dans un environnement, une technique appelée vivre hors de la terre (LotL), pour atteindre leurs objectifs infâmes. Un avantage offert par de telles attaques est qu’elles ont tendance à être sans fichier car elles ne laissent aucun artefact derrière elles et les activités sont moins susceptibles d’être signalées par un logiciel antivirus car elles utilisent un logiciel de confiance. L’idée est de permettre à l’attaquant de se fondre dans l’activité réseau régulière et les tâches administratives normales, tout en restant caché pendant de longues périodes. « L’utilisation de ce binaire vivant hors du pays (LOLBin) inhabituel souligne l’importance d’obtenir une visibilité complète sur le comportement d’exécution des scripts afin d’exposer le code malveillant », a déclaré Microsoft.