Descuentos para licencias múltiples
Threat Database Botnets Red de bots Ddostf

Red de bots Ddostf

Por Mezo en Botnets
Traducir a:
Español

La botnet de malware 'Ddostf' se está centrando activamente en los servidores MySQL, con el objetivo de secuestrarlos para una plataforma DDoS-as-a-Service que alquila su potencia de fuego a otros ciberdelincuentes. Según los hallazgos de los investigadores de ciberseguridad, los operadores de Ddostf explotan vulnerabilidades en entornos MySQL que no han sido parcheados o emplean ataques de fuerza bruta en credenciales débiles de cuentas de administrador para comprometer los servidores objetivo.

Los piratas informáticos detrás de la botnet Ddostf explotan funciones legítimas

Los ciberatacantes escanean activamente Internet en busca de servidores MySQL expuestos y, una vez identificados, emplean técnicas de fuerza bruta para violarlos. En el caso de los servidores MySQL de Windows, los actores de amenazas utilizan una característica conocida como funciones definidas por el usuario (UDF) para ejecutar comandos en el sistema comprometido.

UDF es una característica de MySQL que permite a los usuarios definir funciones en C o C++, compilándolas en un archivo DLL (biblioteca de vínculos dinámicos) para ampliar las capacidades del servidor de base de datos. En este escenario, los atacantes crean sus propias UDF y las registran en el servidor de la base de datos, nombrando el archivo DLL 'amd.dll' e incorporando funciones maliciosas, que incluyen:

  • Descargar cargas útiles como el bot Ddostf DDoS desde un servidor remoto.
  • Ejecutar comandos arbitrarios a nivel de sistema enviados por los atacantes.
  • Capturar los resultados de la ejecución del comando, almacenarlos en un archivo temporal y enviarlos de regreso a los atacantes.

La explotación de las UDF sirve como mecanismo para cargar la carga útil principal del ataque: el cliente bot Ddostf. Sin embargo, este abuso de las UDF también abre la puerta a la posible instalación de otro malware, exfiltración de datos, establecimiento de puertas traseras para acceso persistente y otras actividades maliciosas.

La botnet Ddostf puede conectarse a nuevas direcciones de comando y control (C2)

Originaria de China, Ddostf es una botnet de malware que surgió hace unos siete años y se dirige tanto a sistemas Linux como a Windows.

Al infiltrarse en los sistemas Windows, el malware garantiza la persistencia registrándose como un servicio del sistema durante su ejecución inicial. Posteriormente, descifra su configuración de Comando y Control (C2) para establecer una conexión. Luego, el malware recopila información sobre el sistema host, incluida la frecuencia de la CPU, el recuento de núcleos, los detalles del idioma, la versión de Windows, la velocidad de la red y más. Estos datos se transmiten al servidor C2.

El servidor C2 tiene la capacidad de emitir varios comandos al cliente de botnet, que van desde instrucciones de ataque DDoS (como ataques SYN Flood, UDP Flood y HTTP GET/POST Flood) hasta solicitudes para interrumpir la transmisión de información de estado del sistema, cambiando a una nueva dirección C2, o descargar y ejecutar una nueva carga útil. La característica única de Ddostf radica en su capacidad para conectarse a una nueva dirección C2, lo que le proporciona resistencia contra intentos de eliminación, lo que lo distingue de la mayoría del malware de botnet DDoS.

A la luz de estos desarrollos, los expertos en ciberseguridad recomiendan que los administradores de MySQL se mantengan alerta aplicando las últimas actualizaciones e implementando medidas de seguridad sólidas, como el uso de contraseñas largas y únicas. Esto ayuda a proteger las cuentas de administrador de posibles ataques de fuerza bruta y de diccionario.

Tendencias

Mas Visto

Cargando...