Ботнет Ddostf атакует MySQL-серверы через UDF (User-defined function)

Екатерина Быстрова 17 Ноября 2023 - 11:32

Домашние пользователи

Малый и средний бизнес

...

Серверы MySQL стали целью для ботнета, получившего имя Ddostf. Операторы вредоноса используют их для модели «DDoS как услуга» (DDoS-as-a-Service) и сдают в аренду другим киберпреступникам.

На активность Ddostf обратили внимание исследователи из AhnLab Security Emergency Response Center (ASEC), когда проводили свой привычный мониторинг киберугроз.

В отчёте ASEC отмечается, что операторы Ddostf либо используют непропатченные уязвимости в MySQL, либо брутфорсят слабые связки «логин-пароль» от аккаунтов администраторов.

Всё начинается со сканирования Сети в поиске открытых MySQL-серверов. После обнаружения подходящих целей злоумышленники запускают брутфорс учётных данных администратора.

Для Windows MySQL операторы Ddostf используют определяемые пользователем функции (user-defined functions, UDF) для выполнения команд в скомпрометированных системах.

UDF представляет собой фичу MySQL, позволяющую пользователям устанавливать функции C и C++, а также компилировать их в DLL-файл. Атакующие в этом случае создают собственные UDF а регистрируют их в качестве библиотеки (amd.dll).

У amd.dll есть следующие функциональные возможности:

загружать пейлоады вроде Ddostf с удалённого сервера;
выполнять команды системного уровня;
записывать результаты выполнения во временный файл и отправлять его операторам.

Специалисты считают, что у Ddostf китайские корни. Впервые этот вредонос появился в реальных кибератаках около семи лет назад, он способен атаковать как Windows, так и Linux.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 20 Мая 2024 - 09:10

Android Трояны Домашние пользователи

Новый Android-троян Antidot перехватывает логины и следит за жертвами

Специалисты компании Cyble предупреждают о новом банковском трояне для Android, ворующем учётные данные и переписки пользователей. Вредонос также может следить за владельцами смартфонов.

Троян, получивший имя Antidot, попался исследователям в этом месяце. Авторы маскируют его под обновление Google Play и используют технику накладывания окон для кражи данных.

Кроме того, вредоносное приложение использует различные техники, включая VNC (Virtual Network Computing), функциональность расшаривания экрана, а также открывает злоумышленникам удалённый доступ к устройству.

Antidot может записывать нажатия клавиш и активность на дисплее, перенаправлять звонки, собирать контакты и СМС-сообщения, блокировать и разблокировать девайс, отправлять USSD-запросы.

После заражении Antidot выводит фейковую страницу обновления Google Play с языковой привязкой (зловред располагает сообщениями на английском, французском, немецком, португальском, русском, румынском и испанском языках).

Троян пытается обманом заставить пользователя выдать ему права на специальные возможности операционной системы Android (Accessibility Settings). В фоновом режиме Antidot устанавливает соединение с удалённым сервером для получения команд.

Передача активности на дисплее осуществляется через VNC. Для наложения окон троян задействует WebView, выводя фишинговые HTML-страницы.