基金会会计软体遭遇攻击

关键要点

• 基金会会计软体成为威胁行为者的目标，特别在建筑行业被广泛使用。
• 这些攻击主要利用了管道、暖通空调和混凝土等子行业中的已知漏洞。
• 建议企业更换与基金会软体相关的凭证，并保持安装离线，以防止攻击。

威胁行为者近期将目标对准基金会会计软体，这款软体在建筑行业中的一般承包商中使用广泛，并利用管道、暖通空调及混凝土等子行业中的活跃漏洞进行攻击。

Huntress的研究人员最初在追踪9月14日的活动时发现了这一威胁。他们在报告中写道：“我们的警报来自sqlservr.exe的父进程生成的主机/域枚举命令。” 。

该软体使用的应用程式包括一个 [Microsoft SQL Server (MSSQL)](https://www.darkreading.com/ics- ot-security/turkish-cyber-threat-targets-mssql-servers-mimic-ransomware) 实例，用于处理其资料库操作。研究人员指出，尽管通常资料库伺服器会保存在内部网路或防火墙后面，但基金会软体包含允许通过移动应用程式访问的功能。因此，“TCP端口4243可能会公开暴露以供移动应用程式使用，这个4243端口提供了对MSSQL的直接访问。”

同时，Microsoft SQLServer预设有一个系统管理员帐户，称为“sa”，拥有整个伺服器的完全管理权限。具备如此高的权限后，这些帐户可以使使用者执行shell命令和脚本。

针对该应用程式的威胁行为者已被观察到，以大规模的方式进行暴力破解，同时使用预设凭证来获取受害者帐户的访问权限。此外，这些威胁行为者似乎还在使用脚本自动化他们的攻击。

为了防止成为这些攻击的受害者，建议企业定期更换与基金会软体相关的凭证，并保持安装与互联网断开连接。