Schlecht gesicherte Microsoft SQL (MS SQL) Server werden im Rahmen einer fortlaufenden finanziell motivierten Kampagne zur Erlangung des Erstzugriffs in den USA, der Europäischen Union und Lateinamerika (LATAM) ins Visier genommen. Die Bedrohungskampagne endet entweder mit dem Verkauf von „Zugriff“ auf den kompromittierten Host oder der Bereitstellung von Ransomware-Payloads. Die Kampagne, die mit Akteuren türkischer Herkunft in Verbindung gebracht wird, wurde von der Cybersicherheitsfirma Securonix als RE#TURGENCE bezeichnet.
Der Erstzugriff auf die Server erfolgt durch Brute-Force-Angriffe, gefolgt von der Verwendung der xp_cmdshell-Konfigurationsoption, um Shell-Befehle auf dem kompromittierten Host auszuführen. Diese Aktivität ähnelt der einer früheren Kampagne namens DB#JAMMER, die im September 2023 ans Licht kam. In diesem Stadium wird ein PowerShell-Skript von einem Remote-Server abgerufen, das für das Abrufen einer verschleierten Cobalt Strike Beacon-Payload verantwortlich ist. Das Post-Exploitation-Toolkit wird dann verwendet, um die Fernzugriffsanwendung AnyDesk von einem eingebundenen Netzwerkfreigabe zu installieren, um auf die Maschine zuzugreifen und zusätzliche Tools wie Mimikatz zum Sammeln von Anmeldeinformationen und den Advanced Port Scanner zur Durchführung von Rekonnaissance herunterzuladen.
Die laterale Bewegung erfolgt mithilfe eines legitimen Systemadministrationstools namens PsExec, das Programme auf entfernten Windows-Hosts ausführen kann. Diese Angriffskette führt schließlich zur Bereitstellung von Mimic-Ransomware, eine Variante davon wurde auch in der DB#JAMMER-Kampagne verwendet. Die Indikatoren sowie die bösartigen TTPs, die in den beiden Kampagnen verwendet werden, sind völlig unterschiedlich, daher besteht eine sehr hohe Wahrscheinlichkeit, dass es sich um zwei verschiedene Kampagnen handelt.
Securonix stellte einen Fehler in der operativen Sicherheit (OPSEC) der Angreifer fest, der es ihnen ermöglichte, die Zwischenablagenaktivität zu überwachen, da die Zwischenablageteilungsfunktion von AnyDesk aktiviert war. Dadurch war es möglich, ihre türkische Herkunft und ihr Online-Alias „atseverse“ herauszufinden, was auch einem Profil auf Steam und einem türkischen Hacking-Forum namens SpyHack entspricht. Die Forscher warnten davor, kritische Server direkt mit dem Internet zu verbinden, da die Angreifer bei RE#TURGENCE direkt von außerhalb des Hauptnetzwerks bruteforcen konnten.