فناوری اطلاعات

تلاش هکرها برای نصب باج‌افزار از طریق نفوذ به سرورهای MySQL

هکرها در حال اسکن اینترنت هستند تا سرورهای ویندوز که در حال اجرای پایگاه‌داده MySQL هستند را شناسایی کنند و سپس آن‌ها را با باج‌افزار GandCrab آلوده کنند.
 
به گزارش مرکز افتا به نقل از وبسایت ZDNet، این حملات به نوعی جدید هستند و پژوهشگران تاکنون هدف قرار گرفتن سرورهای MySQL را برای نصب باج‌افزار مشاهده نکرده اند.
 
آنها اعلام کرده‌اند که هکرها پایگاه‌داده‌های MySQL قابل دسترس از اینترنت و قبول کننده دستورهای SQL را اسکن می‌کنند تا در صورت ویندوزی بودن سرور آن، با دستورهای SQL مخرب یک فایل در سرور هدف قرار داده و باج‌افزار GandCrab را در فضای میزبان نصب می‌کنند.
 
با این که اکثر مدیران سیستم‌ها، با گذرواژه از سرورهای MySQL محافظت می‌کنند، مهاجمین اسکن خود را بر مبنای یافتن سرورهایی که دارای پیکربندی مناسبی نیستند یا برای آن‌ها گذرواژه تعریف نشده است، انجام می‌دهند.
 
پژوهشگران در این حملات یک سرور از راه دور را شناسایی کردند که روی آن HFS یا HTTP File Server در حال اجرا است. HFS یک وب سرور مبتنی بر ویندوز است. در این سرور پنج فایل اجرایی با نام ۳۳۰۶ مشاهده شده و تعداد دانلود هر یک مشخص است.
 
در سرور شناسایی شده یک فایل اجرایی لینوکس ELF با نام RDP نیز وجود دارد که در این حمله از آن استفاده نشده است.
 
در زمان تهیه این گزارش، فایل ۳۳۰۶-۱.exe که در هانی‌پات پژوهشگران شناسایی شده٬ بیش از ۵۵۰ بار دانلود شده است.
 
همچنین سایر فایل‌ها (۳۳۰۶-۲.exe، ۳۳۰۶-۳.exe و ۳۳۰۶-۴.exe) به همراه فایل اول، در مجموع ۸۴۲ بار دانلود شده‌اند که نشان دهنده قربانیان حمله است.
 
با اینکه دامنه این حمله گسترده و وسیع نیست، اما این گونه حملات تهدیدی مهم برای سرورهای MySQL که پورت ۳۳۰۶ آن‌ها در معرض دسترسی است، تلقی می‌شود.
 
نشانه‌های آلودگی (IoC)
 
نمونه‌های GandCrab:
•  c۸۳bf۹۰۰eb۷۵۹e۵de۵c۸b۰۶۹۷a۱۰۱ce۸۱۵۷۳۸۷۴a۴۴۰ac۰۷ae۴ecbc۵۶c۴f۶۹۳۳۱
 
•  ۰۱۷b۲۳۶bf۳۸a۱cf۹a۵۲fc۰bdee۲d۵f۲۳f۰۳۸b۰۰f۹۸۱۱c۸a۵۸b۸b۶۶b۱c۷۵۶b۸d۶
 
 
cna۱۲.dll:
•   ۱f۸۶۵۶۱ca۸ff۳۰۲df۲a۶۴e۶d۱۲ff۵۳۰bb۴۶۱f۹a۹۳cf۹b۷c۰۷۴۶۹۹e۸۳۴f۵۹ef۴۴
 
 
IPهای میزبان مهاجم:
•    ۱۷۲,۹۶.۱۴.۱۳۴:۵۴۷۱ (GandCrab host)
•    ۱۴۸,۷۲.۱۷۱.۸۳ (MySQL attacker)
 

​​