Исследование GuardiCore: китайцы используют крупную инфраструктуру для кибератак по всему миру

http://www.itsec.ru/newstext.php?news_id=120469

Китайская киберпреступная группировка использует крупную координированную инфраструктуру для кибератак на серверы с использованием трех семейств вредоносного ПО. Как сообщают специалисты компании GuardiCore, за последние несколько месяцев хакеры осуществили множество атак по всему миру. Каждый из используемых вредоносов, Hex, Hanako и Taylor, предназначен для атак на определенные SQL-серверы и выполняет свою задачу.

 Кампания началась в марте текущего года с атаки на один-единственный сервер, но за лето переросла в масштабную операцию, жертвами которой стали тысячи компьютеров с системами управления базами данных MS SQL Server и MySQL. Скомпрометированные машины использовались в самых разных целях, в том числе для майнинга криптовалюты, осуществления DDoS-атак и установки троянов для удаленного доступа (RAT). Большая часть взломанных систем находится в Китае, однако группировка также атаковала серверы в Таиланде, Японии, США и других странах. Под удар попали серверы под управлением как Windows, так и Linux.

 Три вредоносные кампании, в которых использовалась вышеупомянутая инфраструктура, различаются в основном преследуемыми целями. Hex используется для установки майнеров и RAT, с помощью Hanako строятся DDoS-ботнеты, а Taylor устанавливает кейлоггеры и бэкдоры. В последнее время GuardiCore ежемесячно фиксирует сотни атак с использованием Hex и Hanako и десятки тысяч с использованием Taylor.

 Для обхода обнаружения злоумышленники используют одну машину для атак только на небольшое число IP-адресов. Кроме того, каждый скомпрометированный сервер используется не больше месяца. Инфицированные системы используются для сканирования, осуществления атак, хостинга исполняемых вредоносных файлов, а также в качестве C&C-серверов. Большинство атак осуществляются в три этапа – сканирование, атака и первоначальная закладка.