新闻快讯
< >

中国神秘黑客组织被曝专黑SQL类数据库

E安全12月21日讯 以色列安全公司GuardiCore近日发布报告称,某神秘中国黑客组织在过去一年当中持续针对Windows与Linux系统上的MSSQL与MySQL数据库发起攻击,其利用庞大的基础设施扫描易受攻击的目标主机,进而发动攻击并托管恶意软件。该组织采用广泛的基础设施与相关性较低的恶意软件方案,使得安全人员至今未能将该组织与其分散的攻击活动联系起来。最近,该组织部署的三种不同设计特性的恶意软件(针对不同目标)被安全公司GuardiCore联系起来。

中国恶意软件三重奏:全面针对MSSQL与MySQL服务器-E安全

神秘中国黑客组织相关分析

GuardiCore公司昨天发布报告称,该公司研究人员在经过数月的追踪之后发现,这个神秘的黑客组织的恶意行为主要分为三个活动,且每个活动都对应一种新的恶意软件。

恶意软件Hex、Taylor、Hanako

  • 第一波攻击指向运行有MSSQL数据库的Windows服务器,攻击者在这里部署一款名为Hex的恶意软件——其在本质上属于远程访问木马(简称RAT)与加密货币采矿木马。

  • 第二波攻击则指向运行在Windows服务器上的MSSQL数据库,这一次攻击者们转而采用名为Taylor的恶意软件,其负责充当键盘记录器外加后门。

  • 第三波攻击更为多样化,旨在扫描Windows与Linux服务器上运行的MYSQL与MySQL数据库。在此类攻击中,黑客们安装了一款名为Hanako的恶意软件,这是一款专门用于发动DDoS攻击的木马程序。

攻击者非常谨慎地掩盖网络活动

该神秘黑客组织利用已被感染的服务器扫描少量IP地址,并借此查找其它使用低强度登录凭证的数据库服务器,从而完成对易受攻击服务器的入侵。

中国恶意软件三重奏:全面针对MSSQL与MySQL服务器-E安全

黑客们非常小心地将扫描行为限制在少量IP地址范围之内,这样受感染主机就会扫描大量其它服务器; 此外,他们还利用受感染主机执行扫描操作,从而避免中央命令与控制(C&C)基础设施被其安全保护方所发现。

该组织还在恶意软件之间任意切换,时而结合使用,这意味着每次攻击会产生约300个独特的恶意软件二进制文件。此外,他们还不断轮换C&C服务器与域名,这种作法在国家支持型黑客活动中较为常见。

攻击者追击云基础设施

根据GuardiCore方面的介绍,神秘黑客组织对微软Azure以及亚马逊AWS公有IP范围进行扫描,希望借此发现采用低强度凭证且负责存储敏感信息的企业云服务器。

黑客们集中精力确保自身回避先进安全产品的扫描的同时,其攻击活动仍影响到数以万计的服务器。今年3月发布的Taylor恶意软件所涉及的服务器就超过8万台。Taylor的取名源自研究人员们在一台C&C服务器上所发现的美国歌手Taylor Swift的照片。在此之前,由于整个攻击流程非常隐蔽,卡巴斯基方面曾于今年2月将Taylor误认为是Mirai恶意软件的Windows变种版本。

GuardiCore公司将研究这些攻击活动的过程描述为“一种类似于密室逃脱般的,一环扣一环的追踪体验”。研究工作非常复杂,在这种情况下,逃脱挑战困扰了研究人员们近一年时间,但CuardiCore公司最终能够对攻击者的可能位置作出判断。

大部分网络攻击受害者位于中国

研究人员们指出,“代码当中经常出现中文注释,并且有充分的证据表明该黑客组织来自中国。大部分受害者也集中在中国。另外,Hex的恶意软件(RAT木马)还将自身伪装为流行的中文程序,且配置文件所列出的电子邮件地址(免费的)也源自各大中国服务商。”

中国恶意软件三重奏:全面针对MSSQL与MySQL服务器-E安全

目前,MSSQL与MySQL服务器的拥有者们应确保其数据库帐户使用可靠密码,配备可阻止暴力攻击的防火墙,同时还应检查其系统是否存在以下数据库管理员帐户——攻击者会利用这些帐户在受感染的系统上创建后门。

  • hanako

  • kisadminnew1

  • 401hk$

  • guest

  • Huazhongdiguo110

今年早些时候,GuardiCore方面还发现了BondNet,这是一套由超过15000台Windows Server设备构成的僵尸网络,专门用于加密货币采矿。研究人员们认为BondNet同样源自中国。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。