以色列安全公司GuardiCore近日發布報告稱，某神秘中國黑客組織在過去一年當中持續針對Windows與Linux系統上的MSSQL與MySQL數據庫發起攻擊，其利用龐大的基礎設施掃描易受攻擊的目標主機，進而發動攻擊并托管惡意軟件。該組織采用廣泛的基礎設施與相關性較低的惡意軟件方案，使得安全人員至今未能將該組織與其分散的攻擊活動聯系起來。最近，該組織部署的三種不同設計特性的惡意軟件（針對不同目標）被安全公司GuardiCore聯系起來。

GuardiCore公司昨天發布報告稱，該公司研究人員在經過數月的追蹤之后發現，這個神秘的黑客組織的惡意行為主要分為三個活動，且每個活動都對應一種新的惡意軟件。

第一波攻擊指向運行有MSSQL數據庫的Windows服務器，攻擊者在這里部署一款名為Hex的惡意軟件——其在本質上屬于遠程訪問木馬（簡稱RAT）與加密貨幣采礦木馬。

第二波攻擊則指向運行在Windows服務器上的MSSQL數據庫，這一次攻擊者們轉而采用名為Taylor的惡意軟件，其負責充當鍵盤記錄器外加后門。

第三波攻擊更為多樣化，旨在掃描Windows與Linux服務器上運行的MYSQL與MySQL數據庫。在此類攻擊中，黑客們安裝了一款名為Hanako的惡意軟件，這是一款專門用于發動DDoS攻擊的木馬程序。

該神秘黑客組織利用已被感染的服務器掃描少量IP地址，并借此查找其它使用低強度登錄憑證的數據庫服務器，從而完成對易受攻擊服務器的入侵。

黑客們非常小心地將掃描行為限制在少量IP地址范圍之內，這樣受感染主機就會掃描大量其它服務器; 此外，他們還利用受感染主機執行掃描操作，從而避免中央命令與控制（C&C）基礎設施被其安全保護方所發現。

該組織還在惡意軟件之間任意切換，時而結合使用，這意味著每次攻擊會產生約300個獨特的惡意軟件二進制文件。此外，他們還不斷輪換C&C服務器與域名，這種作法在國家支持型黑客活動中較為常見。

根據GuardiCore方面的介紹，神秘黑客組織對微軟Azure以及亞馬遜AWS公有IP范圍進行掃描，希望借此發現采用低強度憑證且負責存儲敏感信息的企業云服務器。

黑客們集中精力確保自身回避先進安全產品的掃描的同時，其攻擊活動仍影響到數以萬計的服務器。今年3月發布的Taylor惡意軟件所涉及的服務器就超過8萬臺。Taylor的取名源自研究人員們在一臺C&C服務器上所發現的美國歌手Taylor Swift的照片。在此之前，由于整個攻擊流程非常隱蔽，卡巴斯基方面曾于今年2月將Taylor誤認為是Mirai惡意軟件的Windows變種版本。

GuardiCore公司將研究這些攻擊活動的過程描述為“一種類似于密室逃脫般的，一環扣一環的追蹤體驗”。研究工作非常復雜，在這種情況下，逃脫挑戰困擾了研究人員們近一年時間，但CuardiCore公司最終能夠對攻擊者的可能位置作出判斷。

研究人員們指出，“代碼當中經常出現中文注釋，并且有充分的證據表明該黑客組織來自中國。大部分受害者也集中在中國。另外，Hex的惡意軟件（RAT木馬）還將自身偽裝為流行的中文程序，且配置文件所列出的電子郵件地址（免費的）也源自各大中國服務商。”

目前，MSSQL與MySQL服務器的擁有者們應確保其數據庫帳戶使用可靠密碼，配備可阻止暴力攻擊的防火墻，同時還應檢查其系統是否存在以下數據庫管理員帳戶——攻擊者會利用這些帳戶在受感染的系統上創建后門。

hanako

kisadminnew1

401hk$

guest

Huazhongdiguo110

今年早些時候，GuardiCore方面還發現了BondNet，這是一套由超過15000臺Windows Server設備構成的僵尸網絡，專門用于加密貨幣采礦。研究人員們認為BondNet同樣源自中國。