Раскрыта группа киберпреступников, атакующих MSSQL и MySQL с начала года
Главная » Новости

Раскрыта группа киберпреступников, атакующих MSSQL и MySQL с начала года

Олег Иванов 20 Декабря 2017 - 15:19
...
Раскрыта группа киберпреступников, атакующих MSSQL и MySQL с начала года

Китайские киберпреступники в течение года атаковали базы данных MSSQL и MySQL на системах Windows и Linux, устанавливая одну из трех вредоносных программ, каждая из которых имеет свое собственное назначение.

Группа злоумышленников была активна с начала этого года, она использует развернутую инфраструктуру для сканирования уязвимых узлов, запуска атак и размещения вредоносных программ. Это помогло группе оставаться долгое время нераскрытой, так как ее атаки нельзя было связать между собой.

Согласно опубликованному вчера отчету, исследователи безопасности из GuardiCore смогли, наконец, связать атаки этой группы, найдя отличительные особенности. Эксперты говорят, что, наблюдая за действиями группировки, они заметили три основные вредоносные кампании, каждая из которых распространяет новый вид ранее неизвестных вредоносных программ.

Первая волна атак нацелена на серверы Windows, на которых запущены базы данных MSSQL, в этом случае злоумышленники запустили вредоноса под названием Hex. Этот зловред выступал в качестве трояна удаленного доступа, а также майнера.

Вторая волна также атаковала базы данных MSSQL, работающие на серверах Windows, но на этот раз киберпреступники использовали вредоносную программу Taylor, работающую в качестве кейлоггера и бэкдора.

Кроме этого, атакующие сканировали уязвимые базы данных MSSQL и MySQL, работающие как на серверах Windows, так и на Linux. Для этого они устанавливали вредоноса Hanako, кторый также мог запускать DDoS-атаки.

Более того, как отмечают эксперты, киберпреступникам удалось создать около 300 уникальных вредоносных программ для каждой волны атаки. Также было отмечено, что злоумышленники пытались найти корпоративный облачный сервер, работающий с легко взламываемыми учетными данными.

Специалисты предполагают, что хакеры находятся в Китае, так как используемый ими троян удаленного доступа представляет собой известную китайскую вредоносную программу, которая содержит список email-адресов популярных китайских провайдеров.

Эксперты рекомендуют администраторам серверов MSSQL и MySQL проверить наличие следующих аккаунтов с правами администратора, создаваемыми злоумышленниками на скомпрометированных системах:

  • hanako
  • kisadminnew1
  • 401hk$
  • guest
  • Huazhongdiguo110
Следующая главная новость »
AM LiveSOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

В платформе Security Vision улучшили визуализацию и администрирование
Екатерина Быстрова 09 Февраля 2026 - 16:01
Корпорации Security Vision
В платформе Security Vision улучшили визуализацию и администрирование

Security Vision начала год с нового релиза своей платформы. В обновлении разработчики сосредоточились на прикладных вещах: улучшили визуализацию данных, расширили журналирование и упростили работу с экспортом, импортом и административными настройками.

Аналитика и визуализация

В виджете «Карта» появилась тепловая карта. Она позволяет наглядно показывать интенсивность, частоту и количество событий — например, кибератак или инцидентов — в разрезе ИТ-объектов.

В виджете «Последовательность (Timeline)» добавили настраиваемые формы отображения параметров, используемых при выводе данных. Это упрощает анализ цепочек событий и работу с временными срезами.

 

Журналирование и контроль действий

Журнал аудита стал подробнее. Теперь в нём фиксируются события включения и отключения коннекторов, а также расширена информация о действиях, выполняемых с сервисом коннекторов.

Кроме того, в аудит добавлены записи об остановке и удалении запущенных рабочих процессов, а также о создании отчётов, что повышает прозрачность операций и упрощает разбор спорных ситуаций.

Экспорт, импорт и администрирование

При формировании пакета экспорта теперь можно выбрать все связанные с исходной сущностью объекты только для вставки, без замены при импорте. Это особенно удобно при передаче крупных и связанных наборов данных.

В системных настройках очистки истории появилась возможность удалять записи о выполненных операциях импорта и экспорта системных сущностей, что помогает поддерживать порядок в журнале событий.

Обновления интерфейса

В релизе доработан интерфейс формы настроек журнала аудита, переработан раздел «Профиль пользователя», а также обновлены представления для внутрипортальных уведомлений.

Работа с JSON

В блоке преобразований для работы с JSON унифицированы списки вариантов в поле «Название свойства» — теперь они соответствуют вариантам выборки в поле «Значение свойства». Это касается операций добавления, объединения, удаления и поиска по JPath и XPath.

Security Vision продолжает развивать платформу, делая акцент на удобстве повседневной работы, прозрачности процессов и более наглядной аналитике.

AM LiveSOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »
UserGate и Индид объединили NGFW и MFA для безопасной удалёнки
Новость
UserGate и Индид объединили NGFW и MFA для безопасной удалён...
Почта России получила штраф за утечку персональных данных — 150 тыс. руб.
Новость
Почта России получила штраф за утечку персональных данных —...
В России вновь заработал Speedtest
Новость
В России вновь заработал Speedtest

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.