Раскрыта группа киберпреступников, атакующих MSSQL и MySQL с начала года

Олег Иванов 20 Декабря 2017 - 15:19

Домашние пользователи

...

Китайские киберпреступники в течение года атаковали базы данных MSSQL и MySQL на системах Windows и Linux, устанавливая одну из трех вредоносных программ, каждая из которых имеет свое собственное назначение.

Группа злоумышленников была активна с начала этого года, она использует развернутую инфраструктуру для сканирования уязвимых узлов, запуска атак и размещения вредоносных программ. Это помогло группе оставаться долгое время нераскрытой, так как ее атаки нельзя было связать между собой.

Согласно опубликованному вчера отчету, исследователи безопасности из GuardiCore смогли, наконец, связать атаки этой группы, найдя отличительные особенности. Эксперты говорят, что, наблюдая за действиями группировки, они заметили три основные вредоносные кампании, каждая из которых распространяет новый вид ранее неизвестных вредоносных программ.

Первая волна атак нацелена на серверы Windows, на которых запущены базы данных MSSQL, в этом случае злоумышленники запустили вредоноса под названием Hex. Этот зловред выступал в качестве трояна удаленного доступа, а также майнера.

Вторая волна также атаковала базы данных MSSQL, работающие на серверах Windows, но на этот раз киберпреступники использовали вредоносную программу Taylor, работающую в качестве кейлоггера и бэкдора.

Кроме этого, атакующие сканировали уязвимые базы данных MSSQL и MySQL, работающие как на серверах Windows, так и на Linux. Для этого они устанавливали вредоноса Hanako, кторый также мог запускать DDoS-атаки.

Более того, как отмечают эксперты, киберпреступникам удалось создать около 300 уникальных вредоносных программ для каждой волны атаки. Также было отмечено, что злоумышленники пытались найти корпоративный облачный сервер, работающий с легко взламываемыми учетными данными.

Специалисты предполагают, что хакеры находятся в Китае, так как используемый ими троян удаленного доступа представляет собой известную китайскую вредоносную программу, которая содержит список email-адресов популярных китайских провайдеров.

Эксперты рекомендуют администраторам серверов MSSQL и MySQL проверить наличие следующих аккаунтов с правами администратора, создаваемыми злоумышленниками на скомпрометированных системах:

hanako
kisadminnew1
401hk$
guest
Huazhongdiguo110

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 14 Ноября 2025 - 11:16

GenAI (генеративный искусственный интеллект) Корпорации

Swordfish Security подготовила бесплатный фреймворк по оценке рисков ИИ

Специалисты по кибербезопасности из компании Swordfish Security объявили, что разработанная ими методология по оценке зрелости компаний, применяющих искусственный интеллект, будет доступна ИБ-командам бесплатно. Идея в том, чтобы помочь сформировать зарождающийся рынок ИИ-безопасности и дать организациям понятный инструмент для самопроверки.

Методология и карта угроз создавались именно для российского рынка: учитывались требования регуляторов и особенности отечественных ИИ-систем.

Во фреймворк под названием SAIMM включили направления анализа ИИ-систем, оценку рисков, а также набор мер по их снижению. Фактически это рабочий чек-лист, который может помочь компаниям понять текущий уровень зрелости и построить собственную дорожную карту развития безопасного ИИ.

По словам специалистов, на рынке ежедневно появляются новые ИИ-агенты, а бизнес активно внедряет инструменты на базе языковых моделей. При этом масштаб угроз растёт, а атаковать ИИ-системы зачастую проще, чем традиционное ПО из-за их специфики.

Разработчики собрали около 80 уязвимостей, характерных именно для ИИ-систем, и сопоставили их с международными классификациями — OWASP, NIST, ENISA, MITRE ATLAS и другими. В список вошли, например, компрометация модели, обход ограничений, утечка чувствительных данных в ответах модели, конфликт инструкций и другие риски. Для каждой угрозы указаны меры защиты и необходимые контроли.

Фреймворк не привязан к определённой отрасли: им могут пользоваться финтех-компании, онлайн-ритейл, госсектор и другие организации, работающие с ИИ. Разработчики также участвовали в проектах на уровне регуляторов, что позволило учесть положения национальных инициатив в сфере ИИ и критической инфраструктуры.

Совместное исследование Ассоциации Финтех и экспертов в области ИИ-безопасности показало, что четверть крупнейших финансовых компаний уже пережили инциденты, связанные с использованием искусственного интеллекта. Это указывает на то, что ИИ активно интегрируется в рабочие процессы, но инструменты его защиты всё ещё находятся в стадии становления.

Новая методология должна помочь компаниям уйти от спонтанного подхода к внедрению ИИ и выстроить системную работу с рисками.