Serveurs MySQL attaqués par un botnet, rapport

Les acteurs malveillants utilisent le botnet malveillant Ddostf pour asservir les serveurs MySQL et les louer à des cybercriminels en tant que plate-forme DDoS-as-a-Service, BipOrdinateur rapports. Les chercheurs de l’AhnLab Security Emergency Response Center qui ont découvert la campagne ont déclaré que les auteurs utilisaient des tactiques de force brute sur des informations d’identification de compte administrateur faibles ou exploitaient des failles non corrigées dans les environnements MySQL pour infiltrer leurs cibles. Ils déploient et enregistrent également des fonctions définies par l’utilisateur lorsqu’ils rencontrent des serveurs Windows MySQL pour exécuter des commandes. Ces UDF auto-créées comportent des fonctions malveillantes telles que le téléchargement de charges utiles, notamment le botnet Ddostf via un serveur distant, l’exécution de commandes arbitraires au niveau du système et l’enregistrement des résultats de l’exécution des commandes dans un fichier envoyé aux attaquants. L’utilisation d’UDF ouvre également la possibilité d’autres activités malveillantes telles que l’installation d’autres logiciels malveillants, l’exfiltration de données et la création de portes dérobées pour un accès persistant. Selon l’ASEC, Ddostf est utilisé depuis environ sept ans, car les acteurs malveillants exploitent la résistance du malware contre les retraits grâce à sa capacité à se connecter à de nouvelles adresses C2.