Xerox confirma ter sofrido ciberataque à subsidiária dos EUA
Plataforma de blockchains tem cerca de US$ 85 mi roubados
Google fecha acordo para encerrar ação por quebra de privacidade
Biden aprova medida para reforçar cibersegurança nuclear dos EUA
RNP abre inscrições para cursos gratuitos de cibersegurança
Governo federal cria a Política Nacional de Cibersegurança
Prognósticos sobre bug Log4Shell foram exagerados, diz estudo
Servidores MySQL estão sendo alvo da botnet Ddostf que tem como propósito “escravizá-los” para uma plataforma de ataques distribuídos de negação de serviço (DDoS) como serviço, que depois é alugada para outros cibercriminosos. A campanha foi descoberta por pesquisadores do AhnLab Security Emergency Response Center (ASEC) durante monitoramento regular de ameaças direcionadas a servidores de banco de dados.
A ASEC relata que os operadores do Ddostf aproveitam vulnerabilidades em ambientes MySQL não corrigidos ou credenciais de conta de administrador fracas para realizar ataques de força bruta a servidores.
Os invasores estão vasculhando a internet em busca de servidores MySQL expostos e, quando os encontram, tentam violá-los forçando credenciais de administrador fracas. Para servidores Windows MySQL, os operadores de ameaças usam um recurso chamado UDFs (funções definidas pelo usuário) para executar comandos no sistema violado.
UDF é um recurso do MySQL que permite aos usuários definir funções em linguagem C ou C++ e compilá-las em um arquivo DLL (biblioteca de vínculo dinâmico) que estende os recursos do servidor de banco de dados. Os invasores, neste caso, criam suas próprias UDFs e as registram no servidor de banco de dados como um arquivo DLL (amd.dll). A exploração da UDF facilita o carregamento da carga principal desse ataque, o cliente de bot Ddostf. Ele também pode potencialmente permitir a instalação de outros malwares, exfiltração de dados, criação de backdoors para acesso persistente e muito mais.
Ddostf é uma botnet de origem chinesa, detectada pela primeira vez há cerca de sete anos, e tem como alvo sistemas Linux e Windows. No Windows, ele estabelece persistência registrando-se como um serviço do sistema na primeira execução e, em seguida, descriptografa sua configuração de comando e controle (C&C) para estabelecer uma conexão.
Veja isso
Servidores SQL e MySQL são alvo do malware Gh0stCringe
Hackers invadem servidores SQL para implantar ransomware
O malware traça o perfil do sistema host e envia dados como frequência da CPU e número de núcleos, informações de idioma, versão do Windows, velocidade da rede, etc., para seu servidor C&C. Este pode enviar comandos de ataque DDoS para a botnet cliente — incluindo ataque SYN Flood, UDP Flood e HTTP GET/POST Flood —, solicitar a interrupção da transmissão de informações de status do sistema, alternar para um novo endereço C2 ou baixar e executar uma nova carga útil.
A ASEC comenta que a capacidade do Ddostf de se conectar a um novo endereço C&C faz com que ele se destaque da maioria dos malwares de botnet DDoS e é um elemento que lhe dá resiliência contra remoções.
Para ter acesso ao relatório completo da ASEC, em inglês, clique aqui.
Acompanhe em primeira mão as principais notícias de Segurança Cibernética
Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor
Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.
ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL
(para a newsletter não cair no SPAM)