Угрозы для MySQL-серверов: хакеры используют RAT-вредоносы и легальные инструменты для удаленного доступа

В последнее время участились случаи атак на MySQL-серверы, в рамках которых злоумышленники устанавливают вредоносное ПО, включая RAT (Remote Access Trojan) и другие опасные программы. Как сообщает AhnLab Security Intelligence Center (ASEC), киберпреступники активно эксплуатируют слабую защиту серверов, используя методы перебора паролей и уязвимости в управлении учетными записями.

Описание

Основной целью атак становятся MySQL-серверы, работающие в среде Windows, несмотря на то, что эта СУБД чаще применяется в Linux. Хакеры сканируют сети в поисках систем с открытым 3306/TCP-портом, а затем проводят атаки методом brute force или dictionary attack. Если учетные данные администратора оказываются недостаточно защищенными, злоумышленники получают полный контроль над сервером и загружают вредоносные полезные нагрузки.

Одним из ключевых инструментов в таких атаках являются вредоносные DLL-библиотеки, используемые в рамках User Defined Functions (UDF). Эти библиотеки позволяют выполнять произвольные команды на зараженной системе, что делает их аналогом CLR SqlShell в MS-SQL. В некоторых случаях UDF-вредоносы также могут загружать и запускать файлы с удаленных серверов, а также взаимодействовать с C&C-серверами для получения дополнительных команд.

Среди наиболее распространенных вредоносных программ, используемых в этих атаках, преобладают модификации Gh0stRAT - известного трояна удаленного доступа. В частности, исследователи отмечают использование таких вариантов, как Gh0stCringe и HiddenGh0st, которые ранее применялись в атаках на MS-SQL. Новые версии Gh0stRAT включают инструменты для повышения привилегий, а также функцию автоматического создания скриншотов, которые сохраняются в системных папках.

Кроме того, в последних инцидентах был замечен RAT XWorm, который изначально распространялся как Malware-as-a-Service (MaaS), но теперь доступен в виде взломанной версии. Этот вредонос поддерживает широкий функционал: от кражи учетных данных до DDoS-атак и перехвата данных из буфера обмена. Также в атаках участвует загрузчик HpLoader, который может загружать Gh0stRAT или другие вредоносы, хотя точный характер его полезной нагрузки не всегда удается определить из-за недоступности C&C-серверов.

Особую тревогу вызывает использование злоумышленниками легальных инструментов для удаленного управления, таких как Zoho ManageEngine. Ранее киберпреступники уже эксплуатировали Zoho Assist, но теперь переключились на Unified Endpoint Management System (UEMS), устанавливая агенты на зараженные системы. Это позволяет им обходить защитные механизмы, поскольку легальные программы реже вызывают подозрения у антивирусов.

Эксперты ASEC рекомендуют администраторам MySQL-серверов усилить защиту учетных записей, использовать сложные пароли, ограничить доступ к порту 3306 и регулярно обновлять ПО. Также важно мониторить активность процессов MySQL на предмет подозрительных действий, таких как загрузка DLL-файлов или выполнение нестандартных команд.

Учитывая растущую активность злоумышленников, атаки на MySQL-серверы могут продолжиться, а их методы - эволюционировать. Поэтому компаниям, использующим эту СУБД, необходимо принимать превентивные меры, чтобы избежать компрометации данных и потери контроля над инфраструктурой.