Pénzügyi motivációjú török hackerek egy csoportja világszerte Microsoft SQL (MSSQL) szervereket vesz célba, hogy az áldozatok fájljait Mimic (N3ww4v3) zsarolóprogrammal titkosíthassák.
Ezeket a folyamatban lévő támadásokat RE#TURGENCE néven követik nyomon, és az Európai Unió, az Egyesült Államok és Latin-Amerika ellen irányulnak.
A fenyegetés szereplői az online elérhető MSSQL adatbázis kiszolgálókat kompromittálták brute force támadások végrehajtása során. Ezután a rendszerben tárolt xp_cmdshell-t használták, amely lehetővé tette számukra egy Windows parancsértelmező shell létrehozását az SQL Server szolgáltatási fiókjával azonos biztonsági jogokkal. Az xp_cmdshell alapértelmezés szerint le van tiltva, mivel a támadók gyakran használják a jogosultságaik növelésére.
A következő lépésben a támadók PowerShell scriptek és memórián belüli tükrözési technikák sorozatát használva egy erősen obfuszkált Cobalt Strike payload-ot telepítettek, azzal a végcéllal, hogy azt a Windows natív SndVol.exe folyamatba injektálják.
Letöltötték és elindították az AnyDesk távoli asztali alkalmazást mint szolgáltatást, majd elkezdték gyűjteni a Mimikatz segítségével kinyert tiszta szövegű hitelesítő adatokat. Miután az Advanced Port Scanner segédprogrammal átvizsgálták a helyi hálózatot és a Windows tartományt, feltörtek más eszközöket a hálózaton, és a korábban ellopott hitelesítő adatok felhasználásával feltörték a tartományvezérlőt. Ezután a Mimic zsarolóvírus payload-ját önkicsomagoló archívumként telepítették az AnyDesk-en keresztül, majd a legitim Everything alkalmazással keresték meg a titkosítandó fájlokat.
Miután a titkosítási folyamat befejeződött, az áldozat C:\ meghajtójára “-IMPORTANT-NOTICE-.txt” néven létrehozták a titkosítási/fizetési értesítést.