Recentemente nós falamos sobre ataques DDoS nos servidores da OpenAI, e agora surgiu uma nova ameaça.
Os servidores MySQL tornaram-se alvos de uma botnet conhecida como Ddostf, que visa escravizá-los para uma plataforma de ataques distribuídos de negação de serviço (DDoS) como serviço.
Originária da China, a Ddostf é uma botnet com cerca de sete anos de atividade, e ela tem como alvo sistemas Linux e Windows. No caso do Windows, estabelece persistência registrando-se como um serviço do sistema e descriptografa sua configuração de comando e controle (C&C) para estabelecer uma conexão.
A descoberta foi feita por pesquisadores do AhnLab Security Emergency Response Center (ASEC) durante o monitoramento regular de ameaças direcionadas a servidores de banco de dados.
Como é o ataque
A campanha da Ddostf utiliza táticas de força bruta, explorando vulnerabilidades em ambientes MySQL não corrigidos ou aproveitando credenciais de conta de administrador fracas.
Os operadores da botnet estão em busca de servidores MySQL expostos na internet, tentando violá-los e, para servidores Windows MySQL, utilizam recursos como UDFs (funções definidas pelo usuário) para executar comandos nos sistemas comprometidos.
Os invasores registram suas próprias UDFs no servidor de banco de dados, facilitando a execução da carga principal do ataque, representada pelo cliente de bot Ddostf. Além de ataques DDoS, essa infiltração pode permitir a instalação de outros malwares, roubo de dados, criação de backdoors para acesso persistente e muito mais.
O malware ainda realiza o perfil do sistema host, enviando dados como frequência da CPU, número de núcleos, informações de idioma, versão do Windows e velocidade da rede para seu servidor C&C. Este servidor pode enviar comandos de ataque DDoS para a botnet cliente, incluindo ataques SYN Flood, UDP Flood e HTTP GET/POST Flood, demonstrando uma variedade bem complexa de técnicas.
A ASEC destaca a notável capacidade do Ddostf de se conectar a um novo endereço C&C, conferindo-lhe resiliência contra remoções, algo que o diferencia de muitos malwares de botnet DDoS convencionais.
A situação ressalta a importância de manter ambientes MySQL seguros e atualizados para mitigar essas ameaças emergentes.
VEJA TAMBÉM:
