MALWARE TRIO ATAQUE A SERVIDORES MYSQL

Un hacker chino ha estado atacando a bases de datos MySQL en sistemas Windows y Linux durante todo el 2017, con el despliegue de tres cepas de malware cada uno con su propio diseño y propósito.

El grupo ha estado activo desde principios de este año y está utilizando una infraestructura extensa para buscar servidores vulnerables, lanzar ataques, y alojar malware. Esta infraestructura de amplio alcance y de malware no relacionados han ayudado al grupo permanecer oculto en una nube de incidentes previamente desvinculados durante la mayor parte del año.

Los atacantes desplegaron tres nuevos ejemplares de malware

De acuerdo con un informe dado a conocer el 19 de diciembre, después de muchos meses de seguimiento de misteriosos ataques, los investigadores de seguridad en GuardiCore finalmente han logrado descifrar y conectando entre sí los ataques.

Mirando por encima de las operaciones del grupo de ataque, los investigadores dicen que vieron a tres campañas principales, cada una distribución de una nueva cepa de malware nunca antes visto.

La primera ola de ataques dirigidos servidores Windows que ejecutan bases de datos MSSQL, en la que los atacantes desplegado un ejemplar de malware llamado Hex que actuaba como un troyano de acceso remoto (RAT) y como un troyano cripto-minería.

La segunda ola también estaba dirigida a las bases de datos MSSQL que se ejecutan en servidores Windows, pero en esta ocasión los atacantes fue detrás de un ejemplar de malware llamado Taylor, que trabajó como un keylogger y puerta trasera.

Los atacantes diversificaron sus ataques por la tercera ola, que analizan en busca de MSSQL vulnerables y bases de datos MySQL que se ejecutan en los servidores Windows y Linux. Para estos ataques, los hackers instalar un nuevo ejemplar de malware llamado Hanako, un troyano utilizado para lanzar ataques DDoS.

Los hackers irrumpieron en los servidores vulnerables mediante la configuración de cada servidor infectado previamente para escanear un pequeño número de direcciones IP y encontrar otros servidores de bases de datos que utilizan credenciales de acceso débiles.

Los atacantes prestan especial atención a limitar el comportamiento de exploración a un pequeño número de direcciones IP de manera huéspedes infectados no escanear un gran número de otros servidores, y también se basó en los huéspedes infectados para realizar la exploración de modo que no se exponga demasiado de su -mando y control central (C & C) infraestructura.

Los atacantes también cambiaron de una cepa de software malicioso a otro, entrelazando campañas, y la generación de alrededor de 300 binarios de malware únicos por onda de ataque. Además, también giran constantemente los servidores y dominios C & C, algo que no se ve regularmente, excepto en los ataques por el estado a nivel nacional.

De acuerdo con GuardiCore, los atacantes iban analizan en busca de rangos de IP pública Azure y AWS, que son conocidos públicamente. Tenían la esperanza de encontrar un servidor en la nube empresarial se ejecuta con credenciales débiles que estaba almacenando troves de información sensible.

Mientras que los atacantes se centraron en permanecer bajo el radar de los productos de seguridad avanzada, algunas campañas alcanzaron decenas de miles de servidores. Por ejemplo, una campaña de distribución de malware Taylor dirigido más de 80.000 servidores en marzo.

Este ejemplar de malware en particular, el nombre de una imagen que retrata cantante estadounidense Taylor Swift que los investigadores encontraron en uno de sus servidores C & C, fue identificado erróneamente previamente por Kaspersky como una variante de Windows para el malware Mirai en febrero.

Investigadores de Kaspersky no deben sentirse mal acerca de sus conclusiones iniciales, sobre todo porque toda la operación fue muy bien envuelto. Por ejemplo, GuardiCore describió su experiencia en la investigación de estos ataques como "una experiencia sala de escapar en una pista lleva a la otra."

En este caso, el reto sala de escapar mantuvo investigadores ocupados durante casi un año. A pesar de la investigación complicada, GuardiCore se siente seguro de que al menos identificó posible ubicación del atacante.

"Una amplia evidencia sugiere que el grupo de ataque se basa en China", dicen los investigadores. "Los comentarios en China se encuentran habitualmente en el código, la mayoría de las víctimas se basan en la China continental, el troyano RAT se disfraza de direcciones populares lista de archivos de programa y de configuración de correo electrónico de los proveedores chinos chinos populares."
Por el momento, MSSQL y los propietarios del servidor MySQL deben garantizar el uso de una contraseña sólida para sus cuentas de bases de datos, utilizar un firewall que pueda bloquear los ataques de fuerza bruta, y también deben revisar su sistema para la presencia de las siguientes cuentas de administradores de bases de datos, utilizado por los atacantes para crear puertas traseras en los sistemas comprometidos.
Fecha actualización el 2021-12-20. Fecha publicación el 2017-12-20. Categoría: Malware. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer
Malware Trio