Botnet Ddostf déployant Attackf sur les serveurs MySQL

Le botnet « Ddostf » concentre son activité sur les serveurs MySQL dans le but d'en prendre le contrôle et d'offrir leurs capacités DDoS en tant que service à d'autres cybercriminels.

Les chercheurs de l'AhnLab Security Emergency Response Center (ASEC) ont découvert cette menace en vérifiant régulièrement les dangers ciblant les serveurs de bases de données. L'ASEC révèle que les opérateurs de Ddostf exploitent les faiblesses des configurations MySQL qui n'ont pas été mises à jour ou tentent de s'introduire en devinant les mots de passe faibles des comptes d'administrateur. Ils analysent activement Internet à la recherche de serveurs MySQL exposés, tentant de les pirater en essayant diverses informations d'identification d'administrateur.

Pour les serveurs Windows MySQL, les attaquants utilisent une fonctionnalité connue sous le nom de fonctions définies par l'utilisateur (UDF) pour exécuter des commandes sur le système compromis. Les UDF dans MySQL permettent aux utilisateurs de créer des fonctions en C ou C++ et de les compiler dans un fichier DLL, élargissant ainsi les capacités du serveur de base de données.

Dans ce cas, les attaquants créent leurs propres UDF et les enregistrent auprès du serveur de base de données en tant que fichier DLL (amd.dll) avec des fonctions malveillantes, notamment le téléchargement des charges utiles du robot DDoS Ddostf, l'exécution de commandes au niveau du système et l'envoi des résultats d'exécution des commandes au système. attaquants. Cet abus d'UDF aide à charger la charge utile principale de l'attaque, le client bot Ddostf, mais il pourrait également potentiellement conduire à l'installation d'autres logiciels malveillants, au vol de données et à la création de portes dérobées pour un accès persistant.

Origines du botnet Ddostf

Ddostf, un botnet de logiciels malveillants d'origine chinoise détecté il y a environ sept ans, cible à la fois les systèmes Linux et Windows. Sous Windows, il assure la persistance en se faisant passer pour un service système lors de son exécution initiale, puis décrypte sa configuration de commande et de contrôle (C2) pour établir une connexion. Le malware collecte des informations sur le système hôte, telles que les détails du processeur, la langue, la version de Windows et la vitesse du réseau, en envoyant ces données à son C2.

Le serveur C2 peut ensuite envoyer diverses commandes au client botnet, notamment différents types d'attaques DDoS, des demandes d'arrêt de l'envoi d'informations sur l'état du système, le passage à une nouvelle adresse C2 ou le téléchargement et l'exécution d'une nouvelle charge utile. L'ASEC note que la capacité de Ddostf à se connecter à une nouvelle adresse C2 le distingue de la plupart des logiciels malveillants de type botnet DDoS, ce qui le rend plus résistant aux retraits.

Pour se prémunir contre ces menaces, la société de cybersécurité recommande aux administrateurs MySQL de maintenir leurs systèmes à jour et d'utiliser des mots de passe longs et uniques pour se protéger contre les attaques par force brute et par dictionnaire.

Par Zaib
November 17, 2023
Computer Security
Français
November 17, 2023
Computer Security

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.