Раскрыта группа киберпреступников, атакующих MSSQL и MySQL с начала года

Олег Иванов 20 Декабря 2017 - 15:19

Домашние пользователи

...

Китайские киберпреступники в течение года атаковали базы данных MSSQL и MySQL на системах Windows и Linux, устанавливая одну из трех вредоносных программ, каждая из которых имеет свое собственное назначение.

Группа злоумышленников была активна с начала этого года, она использует развернутую инфраструктуру для сканирования уязвимых узлов, запуска атак и размещения вредоносных программ. Это помогло группе оставаться долгое время нераскрытой, так как ее атаки нельзя было связать между собой.

Согласно опубликованному вчера отчету, исследователи безопасности из GuardiCore смогли, наконец, связать атаки этой группы, найдя отличительные особенности. Эксперты говорят, что, наблюдая за действиями группировки, они заметили три основные вредоносные кампании, каждая из которых распространяет новый вид ранее неизвестных вредоносных программ.

Первая волна атак нацелена на серверы Windows, на которых запущены базы данных MSSQL, в этом случае злоумышленники запустили вредоноса под названием Hex. Этот зловред выступал в качестве трояна удаленного доступа, а также майнера.

Вторая волна также атаковала базы данных MSSQL, работающие на серверах Windows, но на этот раз киберпреступники использовали вредоносную программу Taylor, работающую в качестве кейлоггера и бэкдора.

Кроме этого, атакующие сканировали уязвимые базы данных MSSQL и MySQL, работающие как на серверах Windows, так и на Linux. Для этого они устанавливали вредоноса Hanako, кторый также мог запускать DDoS-атаки.

Более того, как отмечают эксперты, киберпреступникам удалось создать около 300 уникальных вредоносных программ для каждой волны атаки. Также было отмечено, что злоумышленники пытались найти корпоративный облачный сервер, работающий с легко взламываемыми учетными данными.

Специалисты предполагают, что хакеры находятся в Китае, так как используемый ими троян удаленного доступа представляет собой известную китайскую вредоносную программу, которая содержит список email-адресов популярных китайских провайдеров.

Эксперты рекомендуют администраторам серверов MSSQL и MySQL проверить наличие следующих аккаунтов с правами администратора, создаваемыми злоумышленниками на скомпрометированных системах:

hanako
kisadminnew1
401hk$
guest
Huazhongdiguo110

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 14 Ноября 2025 - 14:08

Windows Бэкдоры Целевые атаки Таргетированные атаки Корпорации F6

Финансам и ретейлу от имени ФСБ РФ раздают бэкдор под видом КриптоПро CSP

В F6 фиксируют вредоносные рассылки на адреса российских ретейлеров, микрофинансовых учреждений, коллекторских агентств, страховых компаний. При открытии аттача предлагается загрузить СКЗИ КриптоПро, а на самом деле — Windows-бэкдор.

Поддельные имейл-сообщения написаны от имени ФСБ России. Получателя просят ознакомиться с рекомендациями на случай теракта либо в течение суток представить отчет о тренинге по противодействию информационным атакам.

Инициатором адресных рассылок, по данным экспертов, является кибергруппа, которую они называют CapFIX. Адреса отправителя фейковые — некое российское турагентство либо ИТ-компания.

Для открытия и корректного отображения вложенного PDF предлагается скачать КриптоПро CSP. Ссылка под вставленной кнопкой привязана к сайту, зарегистрированному полтора месяца назад (sed documents[.]com).

Отдаваемый RAR-архив, якобы с инсталлятором СКЗИ КриптоПро, устанавливает в систему x64-версию CapDoor.