Az ASEC elemzőcsoportja folyamatosan figyelemmel kíséri a sebezhető adatbázis szervereket célzó káros szoftvereket. Windows környezetben a támadások többsége MS-SQL szerver ellen irányul, ami az MS-SQL mellett az egyik leggyakoribb adatbázis szerver ─ a ShadowServer alapítvány jelentése szerint körülbelül 3,6 millió MySQL szerver érhető el az Internet felől, amelyek így potenciálisan célpontok lehetnek.
Az ASEC blogján különböző támadási eseteket mutatott már be, foglalkoztak például a Cobalt Strike-kal, a Remcos RAT-tal és a CoinMiner.cjdmacjdmwkkal. Habár a MySQL szerverek elleni támadások száma viszonylag alacsony, az észlelések azt támasztják alá, hogy ezek a támadások folyamatosak. Az AhnLab logjai szerint a sebezhető MySQL szervereken terjeszkedő malwarek többsége a Gh0st RAT variánsa, köztük a Gh0stCringe is, utóbb pedig egyre több támadott szerveren azonosítják az AsyncRAT-ot.
A tipikus támadási forgatókönyv szerint a támadók először egy szkennelést (3306 TCP port, MySQL) hajtanak végre, hogy megkeressék a sebezhető célpontokat, majd ezt követően brute force támadással próbálják megszerezni a root felhasználói fiók hitelesítő adatait, ami a rendszer nem megfelelő beállításai esetén kivitelezhető. My-SQL adminok számára ezért is fontos az erős jelszó használata a biztonsági frissítések mielőbbi telepítése mellett.
AsyncRAT indikátorok az AhnLabtól:
[File Detection]
– Trojan/Win32.RL_Generic.C4239825 (2020.11.26.01)
– Trojan/Win32.Inject.C500093 (2014.08.08.04)
MD5
AsyncRAT
– 46d552cd04ff2b41be06ba1478a97ced
UDF DLL
– f23b2905bf872b4a6495cecde290fd2d
Download URLs
AsyncRAT
– hxxp://154.19.203[.]208/Mini.exe
C&C
AsyncRAT
– 154.19.203[.]208:7707
– 154.19.203[.]208:8808
– 154.19.203[.]208:6606