Ddostf: la botnet alla ricerca di server MySQL vulnerabili sul Web

Attraverso il lavoro dei ricercatori dell’AhnLab Security Emergency Response Center (ASEC) è stato possibile scoprire un’enorme rete botnet.

Questa, chiamata Ddostf, sta setacciando il Web alla ricerca di vulnerabilità su server MySQL, per integrare gli stessi in una enorme piattaforma DDoS-as-a-Service al servizio dei cybercriminali che, secondo i dati raccolti finora, avrebbero origine cinese.

Secondo l’ASEC, i responsabili della campagna, stanno cercando ambienti MySQL non aggiornati o agendo attraverso attacchi di forza bruta, sfruttando credenziali degli amministratori facili da violare.

Per compiere questo tipo di attacco, gli aggressori agiscono attraverso una funzionalità nota come UDF (ovvero user-defined functions). Stiamo parlando una funzionalità di MySQL che consente agli utenti di definire funzioni in C o C++ e compilarle in un file DLL che consente di estendere le capacità del server database.

Così facendo, i cybercriminali possono agire in diversi modi sul server compromesso. Oltre al download del payload legato all’infezione Ddostf, gli aggressori possono eseguire comandi arbitrari, installare altri malware, creare backdoor, esfiltrare dati e agire in tanti altri modi.

Ddostf prende di mira sia i server Linux che quelli Windows: ecco come evitare rischi

Grazie alle ricerche dell’ASEC è stato possibile ottenere varie informazioni su Ddostf e su come i criminali gestiscono la botnet. Questo sistema prende di mira tanto sistemi Linux quanto Windows e, a quanto pare, è attiva da ben sette anni.

Una volta che viene intaccato un server, l’agente malevolo utilizzato invia tutti i dati relativi ad hardware (come CPU e relativo numero di core) e sistema operativo, al centro di comando e controllo gestito dagli hacker.

Per ASEC, uno dei segni distintivi di Ddostf rispetto a tante altre operazioni simili è la capacità di connettersi a un nuovo indirizzo  C2, rendendolo di fatto uno dei malware più temibili nel suo settore.

A proposito di questa campagna, gli esperti di sicurezza hanno voluto raccomandare agli amministratori di server MySQL la massima prudenza. In tal senso, oltre all’applicazione degli ultimi aggiornamenti disponibili, i professionisti del settore consigliano anche l’adozione di password robuste per l’account dell’amministratore.