Attraverso il lavoro dei ricercatori dell’AhnLab Security Emergency Response Center (ASEC) è stato possibile scoprire un’enorme rete botnet.
Questa, chiamata Ddostf, sta setacciando il Web alla ricerca di vulnerabilità su server MySQL, per integrare gli stessi in una enorme piattaforma DDoS-as-a-Service al servizio dei cybercriminali che, secondo i dati raccolti finora, avrebbero origine cinese.
Secondo l’ASEC, i responsabili della campagna, stanno cercando ambienti MySQL non aggiornati o agendo attraverso attacchi di forza bruta, sfruttando credenziali degli amministratori facili da violare.
Per compiere questo tipo di attacco, gli aggressori agiscono attraverso una funzionalità nota come UDF (ovvero user-defined functions). Stiamo parlando una funzionalità di MySQL che consente agli utenti di definire funzioni in C o C++ e compilarle in un file DLL che consente di estendere le capacità del server database.
Così facendo, i cybercriminali possono agire in diversi modi sul server compromesso. Oltre al download del payload legato all’infezione Ddostf, gli aggressori possono eseguire comandi arbitrari, installare altri malware, creare backdoor, esfiltrare dati e agire in tanti altri modi.
Ddostf prende di mira sia i server Linux che quelli Windows: ecco come evitare rischi
Grazie alle ricerche dell’ASEC è stato possibile ottenere varie informazioni su Ddostf e su come i criminali gestiscono la botnet. Questo sistema prende di mira tanto sistemi Linux quanto Windows e, a quanto pare, è attiva da ben sette anni.
Una volta che viene intaccato un server, l’agente malevolo utilizzato invia tutti i dati relativi ad hardware (come CPU e relativo numero di core) e sistema operativo, al centro di comando e controllo gestito dagli hacker.
Per ASEC, uno dei segni distintivi di Ddostf rispetto a tante altre operazioni simili è la capacità di connettersi a un nuovo indirizzo C2, rendendolo di fatto uno dei malware più temibili nel suo settore.
A proposito di questa campagna, gli esperti di sicurezza hanno voluto raccomandare agli amministratori di server MySQL la massima prudenza. In tal senso, oltre all’applicazione degli ultimi aggiornamenti disponibili, i professionisti del settore consigliano anche l’adozione di password robuste per l’account dell’amministratore.