在过去的几个月里,GuardiCore实验室一直在调查由全球运作的中国黑客组织发起的多起攻击活动。这些活动是从一个大型协调基础设施启动的,主要针对运行数据库服务的服务器。GuardiCore将这一系列攻击活动称为“Hex-Men Trio”。
到目前为止,GuardiCore已经能够确定三种攻击变体——Hex、Hanako和Taylor。这三个变体最早于2017年3月在GuardiCore的全球传感器网络(GGSN)上出现,现在每天都会针对MS SQL服务和MySQL服务进行数千次攻击。
一旦将服务器攻陷,攻击者便会开始利用这些服务器进行加密货币挖掘、DDoS攻击或者植入数千个远程访问木马(RAT)。
被攻陷的服务器大部分位于中国。当然,GuardiCore也在泰国、美国、日本等国家发现了受害者。
为了保持攻击的隐匿性,每台被作为攻击源的服务器只被设定为攻击少数几个IP,且只会被使用大约一个月的时间,然后就会被停用。
GuardiCore指出,三种攻击变体在攻击目标和攻击数量上是有所区别的。Hex专注于安装加密货币矿工和远程访问木马;Hanako主要利用攻陷的服务器来构建僵尸网络;Taylor的目的则是安装键盘记录器和后门。
到目前为止,在GuardiCore每个月监测到的攻击中,Hex和Hanako的攻击次数均为十几次,而Taylor的攻击次数会达到数万次。
此外,GuardiCore之所以认为Hex-Men Trio背后的组织者来自中国,主要基于三个原因:一是代码中经常出现中文评论;二是大部分受害者位于中国大陆;三是攻击中使用的远程访问木马伪装成受欢迎的中文程序和配置文件列表。
GuardiCore建议,想要免受Hex-Men Trio的侵害最好采用主动防御措施。比如,及时安装补丁并保持系统更新、设置较高强度的密码以及严格限制对服务器的访问。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
