Tin tặc Trung Quốc đẩy mạnh tấn công các máy chủ cơ sở dữ liệu

(08/01/2018)
Các nhà nghiên cứu bảo mật của GuardiCore cho biết một nhóm tội phạm Trung Quốc đã sử dụng một cơ sở hạ tầng kết hợp lớn để nhắm mục tiêu vào các máy chủ cơ sở dữ liệu thông qua ba loại mã độc khác nhau.
Theo quan sát của GuardiCore, nhóm tội phạm này hiện đang hoạt động trên phạm vi toàn thế giới và đã triển khai nhiều cuộc tấn công trong vài tháng qua. Ba họ mã độc được tin tặc sử dụng là Hex, Hanako và Taylor, chúng nhắm mục tiêu các máy chủ SQL khác nhau với những mục đích, quy mô và các dịch vụ riêng.

Theo GuardiCore, một chiến dịch nhắm đến một máy chủ riêng lẻ đã bắt đầu vào tháng 3 năm nay và phát triển thành hàng nghìn cuộc tấn công mỗi ngày trong mùa hè, gây ảnh hưởng đến một lượng lớn dịch vụ SQL Server và MySQL. Các máy bị nhiễm mã độc đã được sử dụng cho các hoạt động khác nhau, bao gồm khai thác tiền ảo, tấn công từ chối dịch vụ (DDoS) và cấy RAT (Remote Access Trojans).

Trong khi phần lớn các máy bị nhiễm được đặt tại Trung Quốc, có một số tại Thái Lan, Mỹ, Nhật Bản và các quốc giac khác. Các dịch vụ cơ sở dữ liệu trên cả Windows và Linux đều là mục tiêu tấn công.

Ba chiến dịch được triển khai từ cơ sở hạ tầng này khác biệt chủ yếu về mục đích tấn công: Hex tập trung vào đào tiển ảo và RAT; Hanako xây dựng một mạng botnet DDoS; và Taylor cài đặt công cụ tấn công keylogger và backdoor. Đến nay, GuardiCore đã quan sát thấy hàng trăm cuộc tấn công Hex và Hanako cũng như hàng chục ngàn sự cố Taylor mỗi tháng.

“Từ những gì chúng ta đã thấy, những kẻ tấn công thường lây nhiễm cho các triển khai đám mây công cộng và cá nhân mà không theo đuổi bất kỳ tên miền cụ thể nào. Điều này được thể hiện qua việc quét thường xuyên các dãy IP công cộng của Azure và AWS của chúng trong khi tìm kiếm các nạn nhân tiềm ẩn”, đại diện của GuardiCore cho biết.

Để thoát khỏi sự giám sát và phát hiện, tin tặc chỉ sử dụng mỗi máy để tấn công một số lượng nhỏ các địa chỉ IP. Các nhà nghiên cứu bảo mật đã khám phá ra rằng rất khó để phát hiện do mỗi máy bị lây nhiễm được sử dụng trong khoảng một tháng và sau đó luân phiên sử dụng lại.

Các hệ thống bị lây nhiễm được sử dụng để quét, triển khai các cuộc tấn công, lưu trữ các tập tin thực thi mã độc và đóng vai trò như là các máy chủ ra lệnh và điều khiển (C&C). Hầu hết các cuộc tấn công đều gồm có ba bước đơn giản: quét, tấn công và cấy nhiễm bước đầu.

Các máy quét tìm kiếm các mạng con và tạo “danh sách tấn công” các địa chỉ IP và các thông tin quan trọng. Theo các nhà nghiên cứu, kẻ tấn công bắt đầu từ một loạt các dải IP lớn và tìm kiếm các máy chạy các dịch vụ như máy chủ web HTTP, MS SQL Server, ElasticSearch,...

Dựa trên danh sách này, các máy tấn công cố gắng xâm nhập vào các máy chủ thông qua tấn công vét cạn MS SQL và cơ sở dữ liệu MySQL. Tiếp theo, chúng sẽ thực thi các lệnh SQL được xác định trước để đạt được quyền kiểm soát máy tính nạn nhân. Mặt khác, bọn tội phạm mạng còn sử dụng xp_cmshell, một nhóm các thủ tục lưu trữ và tự động hóa OLE khác nhau, để tải lên bộ công cụ đầu tiên của chúng.

Sau đó, bước tiếp theo chúng sẽ ngừng hoặc vô hiệu hóa các ứng dụng chống virus và giám sát, đồng thời cố gắng che dấu bằng cách xóa bất kỳ tập tin và thư mục không cần thiết. Mã độc được tải xuống cố gắng đánh lừa nạn nhân bằng cách sử dụng giao diện người dùng MFC giả mạo và các tập nhị phân có dung lượng bất thường có chứa một lượng lớn dữ liệu rác.

Bảo Bình
Theo ictvietnam.vn


Tin khác