未知的攻击者入侵了开源数据库MySQL的主要网站

互联网2020-03-23 16:19:45
导读 9月26日,未知的攻击者入侵了开源数据库MySQL的主要网站,并在短时间内将恶意软件提供给了毫无戒心的访问者。据Armorize Technologies创始

9月26日,未知的攻击者入侵了开源数据库MySQL的主要网站,并在短时间内将恶意软件提供给了毫无戒心的访问者。据Armorize Technologies创始人,总裁兼首席执行官Wayne Huange称,攻击者将JavaScript代码注入了Oracle拥有的MySQL.com上,以将访问者转移到托管BlackHole攻击工具包的恶意网站,该工具包将恶意软件自动下载到受感染的计算机上。该公司表示,攻击已被禁用,该站点不再提供恶意软件。

Huang在Armorize博客上写道,MySQL.com的主页被泄密,以迫使访问者加载JavaScript文件。该文件创建了一个IFRAME,将受害者不知不觉地重定向到了位于佛罗里达州的falosfax.in托管的页面,并再次重定向到了瑞典的.cx.cc域。进入页面后,该网站上托管的BlackHole套件会利用用户的Web浏览器并安装插件来下载恶意软件。攻击者针对此攻击修改了Omniture SiteCatalyst插件使用的JavaScript文件,该文件用于跟踪网站指标。

Huang写道:“访问者无需单击或同意任何内容;仅使用易受攻击的浏览平台访问mysql.com即可导致感染。”

BlackHole是一种广泛使用的工具包,其中包含针对Web浏览器以及其他Web组件和插件(例如Flash Player,Adobe Reader和Java)中的漏洞的预加载漏洞。它利用未修补的软件来破坏计算机。按下载驱动攻击是一种常见的技术,通常依靠JavaScript在用户不知情的情况下将用户静默重定向到恶意站点。

根据恶意软件跟踪器VirusTotal的数据,目前在44个主要安全厂商中,有8家检测到了该恶意软件。

趋势科技研究人员发现了证据,表明攻击者正在向地下论坛上的mysql.com及其子域的某些群集服务器出售根访问权限。趋势科技高级威胁研究员Maxim Goncharov 在恶意软件博客上写道,卖方以3,000美元的价格提供了一个shell控制台窗口,该窗口可通过根目录访问这些服务器。

贡恰洛夫写道,网络罪犯“冒昧”到足以出售对特定系统的管理访问权限。

据Sucuri Security的研究人员称,该网站最初是由JavaScript恶意软件入侵的,而该恶意软件通常与FTP密码被盗有关。Sucuri研究人员在博客上写道,该恶意软件可能破坏了属于MySQL.com团队成员的计算机,并从FTP客户端窃取了密码。

MySQL是一个开放源代码数据库,最初由一个独立实体拥有,但于2008年被Sun Microsystems收购。后来,该公司于2009年收购Sun,它成为Oracle的一部分。趋势科技的Goncharov说,该团队上周与MySQL联系,但尚未收到回复。该网站似乎在一天中的三个小时内提供了恶意软件。

通过出售根访问权限,最初危害mysql.com的恶意攻击者可能不是负责在站点上提供恶意软件的BlackHole攻击的人。

免责声明:本文由用户上传,如有侵权请联系删除!