Servidores Microsoft SQL mal configurados estão sendo alvo de uma campanha motivada financeiramente para ganhar acesso inicial em regiões dos EUA, União Europeia e América Latina. A campanha, vinculada a atores de origem turca, foi nomeada como RE#TURGENCE.

O acesso inicial aos servidores envolve a realização de ataques de força bruta, seguidos pelo uso da opção de configuração xp_cmdshell para executar comandos shell no host comprometido.

Essa atividade é semelhante a uma campanha anterior chamada DB#JAMMER, que veio à tona em setembro de 2023. Esta etapa abre caminho para a recuperação de um script PowerShell de um servidor remoto, responsável por buscar um payload ofuscado do Cobalt Strike beacon.

A ferramenta de pós-exploração é então usada para baixar o aplicativo de área de trabalho remota AnyDesk de um compartilhamento de rede montado para acessar a máquina e baixar ferramentas adicionais, como Mimikatz para colher credenciais e Advanced Port Scanner para realizar reconhecimento.

O movimento lateral é realizado por meio de uma utilidade legítima de administração de sistemas chamada PsExec, que pode executar programas em hosts Windows remotos.