至少有一名中國黑客工作人員正在為運行MySQL數(shù)據(jù)庫的Windows服務(wù)器掃描互聯(lián)網(wǎng)，以便他們可以使用GandCrab勒索軟件感染這些系統(tǒng)。這些攻擊有點獨特，因為網(wǎng)絡(luò)安全公司直到現(xiàn)在還沒有看到任何威脅演員攻擊在Windows系統(tǒng)上運行的MySQL服務(wù)器以使用勒索軟件感染它們。Sophos的首席研究員Andrew Brandt以及在蜜罐日志中發(fā)現(xiàn)這些新攻擊的人在一封發(fā)給ZDNet的電子郵件中稱其為“偶然的發(fā)現(xiàn)”。研究人員今天在Sophos網(wǎng)站上發(fā)布了一篇博客文章，詳細介紹了這一新的掃描活動及其有效載荷。

攻擊者瞄準罕見但多汁，暴露的MYSQL數(shù)據(jù)庫

Brandt說，黑客會掃描可以接受SQL命令的互聯(lián)網(wǎng)可訪問MySQL數(shù)據(jù)庫，檢查基礎(chǔ)服務(wù)器是否可以在Windows上運行，然后使用惡意SQL命令在暴露的服務(wù)器上植入文件，這些文件將在以后執(zhí)行，感染主機與GandCrab勒索軟件。

雖然大多數(shù)系統(tǒng)管理員通常使用密碼保護他們的MySQL服務(wù)器，但這些掃描的目的似乎是錯誤配置或無密碼數(shù)據(jù)庫的機會性利用。

Brandt認為，黑客似乎非常驚人，但如果成功則不完全清楚。

Sophos研究人員將這些攻擊追溯到一個遠程服務(wù)器，該服務(wù)器有一個運行服務(wù)器軟件HFS的開放目錄，它暴露了攻擊者惡意負載的下載統(tǒng)計數(shù)據(jù)。

“服務(wù)器似乎表示我看到MySQL蜜罐下載(3306-1.exe)的樣本下載次數(shù)超過500次。但是，樣本名為3306-2.exe，3306-3.exe和3306-4.exe與該檔案相同，“布蘭特說。

“計算在一起，自從他們被放置在這臺服務(wù)器上的五天內(nèi)，已有近800次下載，以及在開放目錄中超過2300次下載其他(大約一周之前)的GandCrab示例。

“因此，雖然這不是特別大規(guī)?；驈V泛的攻擊，但它確實給MySQL服務(wù)器管理員帶來了嚴重的風險，他們在數(shù)據(jù)庫服務(wù)器上為端口3306通過防火墻打了一個洞，外部世界可以訪問，”他說。

正如Brandt所指出的，這些類型的攻擊非常罕見。黑客團體通常掃描數(shù)據(jù)庫服務(wù)器滲透到企業(yè)和竊取他們的數(shù)據(jù)或知識產(chǎn)權(quán)，或來廠加密采礦惡意軟件[1，2]。

黑客組織部署勒索軟件的實例很少見。