שרתי Microsoft SQL פגיעים המאובטחים באופן בלתי תקין, נמצאים במוקד מתקפות סייבר של האקרים מטורקיה. מתקפות הסייבר אשר קיבלו את השם RE#TURGENCE מכוונות לאזורים שונים בארה"ב, מדינות האיחוד האירופי ומדינות אמריקה הלטינית – כחלק ממסע מתמשך של מתקפות סייבר בעלות מוטיבציה כלכלית להשגת גישה ראשונית למערכות המחשוב של הקורבנות. לפי חוקרי סייבר בחברת Securonix: "נראה שמתקפות הסייבר על שרתי Microsoft SQL פגיעים מסתיימות באחת משתי דרכים – מכירת גישה למערכות המחשוב של הקורבן, או הפעלה של נוזקות וכופרה".
הגישה הראשונית של ההאקרים לשרתי ה- SQL כרוכה בביצוע מתקפות Brute Force ולאחר מכן שימוש באפשרות התצורה של xp_cmdshell להפעלת פקודות מעטפת על השרת שנפרץ. פעילות זו משקפת את זו של מסע מתקפות סייבר קודם שזכה לכינוי DB#JAMMER שהתגלה בספטמבר 2023. שלב זה סולל את הדרך לאחזור של סקריפט PowerShell משרת מרוחק, האחראי על שליפת מטען משואת Cobalt Strike. ערכת הכלים שלאחר הפריצה משמשת להורדת יישום שולחן העבודה המרוחק AnyDesk, לצורך גישה למערכת המחשוב והורדת כלים נוספים כגון Mimikatz לקצירת אישורים ו- Advanced Port Scanner לביצוע חיפושים. תנועה לרוחב במערכת המחשוב של הקורבן מתבצעת באמצעות כלי עזר לגיטימי לניהול מערכת בשם PsExec, אשר יכול להפעיל תוכנות במארחי Windows מרוחקים. שרשרת מתקפה זו מגיעה בסופו של דבר לשיאה עם פריסת הכופרה Mimic, שגרסה שלה שימשה גם במתקפות DB#JAMMER.
חברת Securonix דיווחה כי היא חשפה טעות אבטחה תפעולית שנעשתה על ידי ההאקרים, אשר אפשרה לחברה לנטר את פעילות ההאקרים בשל העובדה שתכונת השיתוף AnyDesk הופעלה. הדבר איפשר לאתר את המקור הטורקי של ההאקרים ואת הכינוי המקוון שלהם – atseverse, שמתאים גם לפרופיל שלהם ב- Steam ולפורום פריצה טורקי בשם SpyHack.
"הימנעו תמיד מחשיפת שרתים קריטיים ישירות לאינטרנט", מזהירים חוקרי הסייבר ב- Securonix ומדגישים: "במקרה של RE#TURGENCE יכלו ההאקרים להיכנס ישירות בכוח אל השרת כשהם עדיין מחוץ לרשת הראשית".
