نماد سایت اتاق خبر شبکه گستر

سرورهای MySQL، هدف جدید باج‌افزاری پیشرفته

بر اساس گزارشی که شرکت امنیتی سوفوس آن را منتشر کرده گروهی از هکرها با نفود به پایگاه‌های داده MySQL که بر روی سرورهای با سیستم عامل Windows میزبانی شده‌اند اقدام به آلوده‌سازی آنها به باج‌افزار می‌کنند.

این مهاجمان با پویش درگاه 3306/TCP بر روی اینترنت آن دسته از پایگاه‌های داده MySQL تحت Windows را که فرامین SQL را دریافت می‌کنند شناسایی کرده و در ادامه تلاش می‌کنند تا باج‌افزار معروف GandCrab را بر روی آنها اجرا کنند.

بدین‌منظور پس از رخنه به پایگاه داده و ایجاد جدولی با عنوان youngger2، از طریق فرمان set محتوای یک فایل DLL در قالب یک متغیر (Variable) در حافظه سرور ذخیره می‌شود.

در ادامه، محتوا به youngger2 منتقل می‌شود.

در مرحله بعد با اجرای فرمانی، محتوای مذکور به صورت یک فایل درآمده و در پوشه Plugin سرور ذخیره می‌شود.

به گزارش شرکت مهندسی شبکه گستر، وظیفه فایل DLL ایجاد سه تابع با نام‌های xpdl3، xpdl3_deinit و xpdl3_init در بانک داده است.

پس از آن مهاجمان قادر خواهند بود تا با اجرای فرمانی همانند نمونه نمایش داده شده در تصویر زیر، فایل مخرب باج‌افزار GandCrab را بر روی سرور هک شده دریافت و آن را در درایو C ذخیره کنند. با اجرای این فایل مخرب سرور به باج‌افزار آلوده خواهد شد.

نشانی IP سروری که مهاجمان از آن حمله را اجرا می‌کنند 148.72.171.83 و نشانی IP سروری که فایل مخرب باج‌افزار از آن دریافت می‌شود 172.96.14.134:5471 اعلام شده است.

پایگاه‌های داده MySQL با رمز عبور ضعیف نسبت به این حمله آسیب‌پذیر گزارش شده‌اند.

این اولین بار است که گردانندگان باج‌افزار به‌طور خاص پایگاه‌های MySQL تحت Windows را هدف قرار می‌دهند.

نمونه‌های اشاره شده در گزارش شرکت سوفوس با نام‌های زیر قابل شناسایی است:

 

Bitdefender:
   – Gen:Variant.Ransom.GandCrab.2100
   – Backdoor.Generic.760471

McAfee:
   – GenericRXHE-JQ!CF90A464204A
   – GenericRXHE-JQ!125923CE61DF
   – Generic.dx!A922D55A873D

Sophos:
   – Troj/Kryptik-JG
   – Mal/DownLdr-AC

خروج از نسخه موبایل