سرورهای MySQL به باج‌افزار آلوده شد

/در , , , /توسط
این طور که گزارش‌های جدید نشان می‌دهد، دستکم یک گروه هکری چینی موفق شده است سرورهای مخصوص ویندوز که روی آن پایگاه داده MySQL اجرا می‌شود را اسکن کند و آنها توانسته‌اند این سیستم‌ها را به باج‌افزار GandCrab آلوده کنند.
 
این حملات تا حدودی منحصر به فرد بوده است و شرکت‌های فعال در حوزه امنیت سایبری اعلام کردند که تاکنون هیچ گونه حمله‌ای که سرورهای MySQL روی سیستم‌های ویندوزی را مورد هدف قرار دهد و آنها را به باج‌افزار آلوده کند مشاهده نکرده بودند.
 
«اندرو برنت» مدیر تحقیقات مرکز Sophos که در اصل این حملات را شناسایی کرده بود، از آنها به عنوان «کشف غیرمترقبه» یاد کرد.
 
این محقق امروز با انتشار مطلبی روی وبلاگ رسمی شرکت Sophos  جزییات مربوط به فعالیت هکری جدید و اسکن سرورهای ویندوز را توضیح داد.
 
برنت اعلام کرد هکرها توانسته‌اند پایگاه‌های داده MySQL با قابلیت دسترسی اینترنتی را اسکن کنند. این پایگاه‌ها داده قابلیت پذیرش کدهای دستوری SQL را دارند تا از این طریق وضعیت سرور اصلی که ویندوز روی آن اجرا می‌شود را تحلیل کنند و در این میان هکرها از کدهای دستور مخرب SQL استفاده کردند تا فایل مورد نظر خود را روی سرورها نصب کنند. این اتفاق به آنها امکان داد تا بتوانند باج‌افزار GandCrab را روی سرورهای ویندوزی نصب کنند.
 
در حالی که بیشتر مدیران سیستم به صورت معمول با رمز عبور از سرورهای MySQL خود محافظت می‌کنند، هدف هکرها از اسکن‌های صورت گرفته بهره‌برداری فرصت طلبانه از پایگاه‌های داده‌ فاقد رمز عبور بوده است.
 

تلاش هکرها برای نصب باج‌افزار از طریق نفوذ به سرورهای MySQL

/در , , , , /توسط
هکرها در حال اسکن اینترنت هستند تا سرورهای ویندوز که در حال اجرای پایگاه‌داده MySQL هستند را شناسایی کنند و سپس آن‌ها را با باج‌افزار GandCrab آلوده کنند.
 
به گزارش مرکز افتا به نقل از وبسایت ZDNet، این حملات به نوعی جدید هستند و پژوهشگران تاکنون هدف قرار گرفتن سرورهای MySQL را برای نصب باج‌افزار مشاهده نکرده اند.
 
آنها اعلام کرده‌اند که هکرها پایگاه‌داده‌های MySQL قابل دسترس از اینترنت و قبول کننده دستورهای SQL را اسکن می‌کنند تا در صورت ویندوزی بودن سرور آن، با دستورهای SQL مخرب یک فایل در سرور هدف قرار داده و باج‌افزار GandCrab را در فضای میزبان نصب می‌کنند.
 
با این که اکثر مدیران سیستم‌ها، با گذرواژه از سرورهای MySQL محافظت می‌کنند، مهاجمین اسکن خود را بر مبنای یافتن سرورهایی که دارای پیکربندی مناسبی نیستند یا برای آن‌ها گذرواژه تعریف نشده است، انجام می‌دهند.
 
پژوهشگران در این حملات یک سرور از راه دور را شناسایی کردند که روی آن HFS یا HTTP File Server در حال اجرا است. HFS یک وب سرور مبتنی بر ویندوز است. در این سرور پنج فایل اجرایی با نام ۳۳۰۶ مشاهده شده و تعداد دانلود هر یک مشخص است.
 
در سرور شناسایی شده یک فایل اجرایی لینوکس ELF با نام RDP نیز وجود دارد که در این حمله از آن استفاده نشده است.
 
در زمان تهیه این گزارش، فایل ۳۳۰۶-۱.exe که در هانی‌پات پژوهشگران شناسایی شده٬ بیش از ۵۵۰ بار دانلود شده است.
 
همچنین سایر فایل‌ها (۳۳۰۶-۲.exe، ۳۳۰۶-۳.exe و ۳۳۰۶-۴.exe) به همراه فایل اول، در مجموع ۸۴۲ بار دانلود شده‌اند که نشان دهنده قربانیان حمله است.
 
با اینکه دامنه این حمله گسترده و وسیع نیست، اما این گونه حملات تهدیدی مهم برای سرورهای MySQL که پورت ۳۳۰۶ آن‌ها در معرض دسترسی است، تلقی می‌شود.
 
نشانه‌های آلودگی (IoC)
 
نمونه‌های GandCrab:
•  c۸۳bf۹۰۰eb۷۵۹e۵de۵c۸b۰۶۹۷a۱۰۱ce۸۱۵۷۳۸۷۴a۴۴۰ac۰۷ae۴ecbc۵۶c۴f۶۹۳۳۱
 
•  ۰۱۷b۲۳۶bf۳۸a۱cf۹a۵۲fc۰bdee۲d۵f۲۳f۰۳۸b۰۰f۹۸۱۱c۸a۵۸b۸b۶۶b۱c۷۵۶b۸d۶
 
 
cna۱۲.dll:
•   ۱f۸۶۵۶۱ca۸ff۳۰۲df۲a۶۴e۶d۱۲ff۵۳۰bb۴۶۱f۹a۹۳cf۹b۷c۰۷۴۶۹۹e۸۳۴f۵۹ef۴۴
 
 
IPهای میزبان مهاجم:
•    ۱۷۲,۹۶.۱۴.۱۳۴:۵۴۷۱ (GandCrab host)
•    ۱۴۸,۷۲.۱۷۱.۸۳ (MySQL attacker)