サーバー側の攻撃、パブリック クラウドでの C&C、およびその他の MDR ケース from securelist.com

このインシデントは、正規の Microsoft SQL Server プロセスである sqlservr.exe によって示された疑わしいアクティビティによって検出されました。
その後、s.exe 実行ファイルから IP アドレス 38[.]54[.]14[.]183 への疑わしいネットワーク接続を検出しました。
まず、SMB プロトコル上で疑わしいファイル c:userspublicwinpdasd.exe (MD5: B83C9905F57045110C75A950A4EE56E4) が作成されました。
| | AM行動分析 |攻撃者は psexec を介して windnphd.exe を実行しました
| |疑わしいプロセス windnphd.exe によって接続が開始されました
| | SOC は、非標準の 53/TCP ポートで HTTP プロトコルの使用を検出しました |攻撃者が使用した C&C サーバー hxxp[:]//31.192.234[