中国神秘黑客组织被曝专黑SQL类数据库
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全12月21日讯 以色列安全公司GuardiCore近日发布报告称,某神秘中国黑客组织在过去一年当中持续针对Windows与Linux系统上的MSSQL与MySQL数据库发起攻击,其利用庞大的基础设施扫描易受攻击的目标主机,进而发动攻击并托管恶意软件。该组织采用广泛的基础设施与相关性较低的恶意软件方案,使得安全人员至今未能将该组织与其分散的攻击活动联系起来。最近,该组织部署的三种不同设计特性的恶意软件(针对不同目标)被安全公司GuardiCore联系起来。
报告关于“神秘黑客组织”的分析
报告关于“神秘黑客组织”的分析
报告显示,GuardiCore公司研究人员在经过数月的追踪之后发现,这个神秘的黑客组织的恶意行为主要分为三个活动,且每个活动都对应一种新的恶意软件。
恶意软件Hex、Taylor、Hanako:
第一波攻击指向运行有MSSQL数据库的Windows服务器,攻击者在这里部署一款名为Hex的恶意软件——其在本质上属于远程访问木马(简称RAT)与加密货币采矿木马。
第二波攻击则指向运行在Windows服务器上的MSSQL数据库,这一次攻击者们转而采用名为Taylor的恶意软件,其负责充当键盘记录器外加后门。
第三波攻击更为多样化,旨在扫描Windows与Linux服务器上运行的MYSQL与MySQL数据库。在此类攻击中,黑客们安装了一款名为Hanako的恶意软件,这是一款专门用于发动DDoS攻击的木马程序。
攻击者非常谨慎地掩盖网络活动
该神秘黑客组织利用已被感染的服务器扫描少量IP地址,并借此查找其它使用低强度登录凭证的数据库服务器,从而完成对易受攻击服务器的入侵。
黑客们非常小心地将扫描行为限制在少量IP地址范围之内,这样受感染主机就会扫描大量其它服务器; 此外,他们还利用受感染主机执行扫描操作,从而避免中央命令与控制(C&C)基础设施被其安全保护方所发现。
该组织还在恶意软件之间任意切换,时而结合使用,这意味着每次攻击会产生约300个独特的恶意软件二进制文件。此外,他们还不断轮换C&C服务器与域名,GuardiCore公司认为这种作法在国家支持型黑客活动中较为常见。
攻击活动追击云基础设施
根据GuardiCore方面的介绍,神秘黑客组织对微软Azure以及亚马逊AWS公有IP范围进行扫描,希望借此发现采用低强度凭证且负责存储敏感信息的企业云服务器。
黑客们集中精力确保自身回避先进安全产品的扫描的同时,其攻击活动仍影响到数以万计的服务器。2017年3月发布的Taylor恶意软件所涉及的服务器就超过8万台。Taylor的取名源自研究人员们在一台C&C服务器上所发现的美国歌手Taylor Swift的照片。在此之前,由于整个攻击流程非常隐蔽,卡巴斯基方面曾于2017年2月将Taylor误认为是Mirai恶意软件的Windows变种版本。
GuardiCore公司将研究这些攻击活动的过程描述为“一种类似于密室逃脱般的,一环扣一环的追踪体验”。研究工作非常复杂,在这种情况下,逃脱挑战困扰了研究人员们近一年时间,但CuardiCore公司最终能够对攻击者的可能位置作出判断。
大部分网络攻击受害者位于中国
研究人员指出,“代码当中经常出现中文注释,并且有充分的证据表明该黑客组织来自中国,大部分受害者也集中在中国。另外,Hex的恶意软件(RAT木马)还将自身伪装为流行的中文程序,且配置文件所列出的电子邮件地址(免费的)也源自各大中国服务商。”
目前,MSSQL与MySQL服务器的拥有者们应确保其数据库帐户使用可靠密码,配备可阻止暴力攻击的防火墙,同时还应检查其系统是否存在以下数据库管理员帐户——攻击者会利用这些帐户在受感染的系统上创建后门。
hanako
kisadminnew1
401hk$
guest
Huazhongdiguo110
2017年初,GuardiCore方面还发现了BondNet,这是一套由超过15000台Windows Server设备构成的僵尸网络,专门用于加密货币采矿。研究人员们认为BondNet同样源自中国。
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/953498122.shtml
推荐阅读:
▼点击“阅读原文” 查看更多精彩内容