Hackers From Chinese APT-27 Group Initiated 15000 Attacks Against MySQL Servers to Compromise Enterprise Networks |
مجرمو الإنترنت من مجموعة APT-27 يستهدفون شبكات المؤسسات البارزة من خلال استغلال خادم MySQL من خلال البرامج الضارة مثل NewCoreRAT (Remote Access Trojan) المرتبطة بحملة APT الصينية.
تتابع معظم شبكات المؤسسات باستخدام نظام أساسي سحابي لتخزين بياناتها الحساسة ، وفي نفس الوقت يقوم المهاجمون باستخدام الخدمات السحابية على قدم المساواة لتشغيل روبوتاتهم و C&C على خوادم سحابية.
على الرغم من أن الشركات تقوم بتصحيح جميع نقاط الضعف المتعلقة بنظام التشغيل ، إلا أنها فشلت في تأمين جهاز الخادم الذي يشغل MySQL ، وهو مفتوح للإنترنت العام.
بناءً على نتائج بحث Shodan ، هناك ما يقرب من 4.9 مليون خادم MySQL تم تكوينها لتعمل على IP العام. تعمل خدمة MySQL بامتياز النظام ، لذلك إذا دخل مهاجم في الشبكة باستخدام MySQL ، فيمكنه الحصول على حق الوصول الكامل إلى الجهاز المصاب دون أي ثغرة أمنية.
لاحظ باحثون من Quick Heal ما يقرب من 15000 هجوم في نظام مصائد مخترقي الشبكات ، حيث تركز 34٪ من الهجمات التي استهدفت ألمانيا وبقية الهجمات مع دول أخرى مثل الولايات المتحدة وفرنسا والصين وبولندا وروسيا.
التهديد الجهات الفاعلة نهج مختلفة
- يستخدم المهاجمون طريقتين مختلفتين لإساءة استخدام خوادم MYSQL ولخرق شبكة المؤسسة المرتبطة.
- يحاولون الحصول على إدخال في خادم قاعدة البيانات ، وإسقاط الجداول الموجودة وإدراج ملاحظة فدية كنقطة في جدول تم إنشاؤه حديثًا.
في نهج الهجوم الثاني ، يستخدمون MySQL كمدخل لنظام Linux أو Windows ، ثم يسقطون مستتر أو عامل منجم أو فدية في المضيف الضحية.
يقوم ممثلو التهديدات بإساءة استخدام خادم MYSQL من خلال استغلال نقاط الضعف مثل بيانات الاعتماد الافتراضية مثل الجذر ، وهجوم القوة الغاشمة باستخدام 1000 كلمة مرور معروفة وحقن SQL.
بصرف النظر عن هذا النهج ، يستفيد المهاجمون أيضًا من WebShell وتجاوز مشكلة عدم الحصانة التي تسمح لهم بالتحكم في الخادم دون أي بيانات اعتماد لمعالجة البيانات وحتى حذفها أو سرقتها.
وفقًا لـ Quick Heal Research ، يستخدم المهاجمون الوظيفة لتنزيل الملف من URL وتنفيذها على الخادم المصاب. سيتم تشغيل كل تطبيق يتم تنفيذه بواسطة mysqld.exe بامتياز النظام. تهرب من الكشف ويمكن استخدامها لشن هجمات ضد البرامج الضارة.
إلى جانب ذلك ، هناك العديد من البرامج الضارة التي يتم توزيعها باستخدام MySQL كمصدر يتضمن هذا الفيروسات ، الباب الخلفي ، عامل المناجم.
كما تلقى الباحثون عينة من NewCore RAT من APT-27 ، الجهات الفاعلة APT الصينية التي تستهدف بشكل رئيسي الكيانات الحكومية ومراكز البيانات.
"بعد إسقاط قاعدة البيانات الضارة ، يقوم المهاجم بإدراج مذكرة فدية ويطلب فدية. لكن يقترح أنه في هذا النوع من الهجوم ، لا تدفع الفدية لأن المهاجم لا يقرأ أو يأخذ نسخة احتياطية من قاعدة البيانات بحيث لا توجد طريقة تمكنهم من استعادة قاعدة البيانات بعد الدفع.
- الى هنا يكون قد أنتهى شرح اليوم ، على أمل أن يكون قد أفادكم ، الى اللقاء في شروحات جديدة . إذا كان لديك أي سؤال أو استفسار فلا تتردد في طرحه في التعليقات ، كما أدعوك لترك تعليق تحفيزي من أجل الإستمرار في تقديم الأفضل. في أمان الله..