Mere end 50,000 MS-SQL og phpMyAdmin servere blev inficeret ved rootkits og minearbejdere

Specialister fra Guardicore Labs rapporteret om fund af malware Nansh0u, og nogle kinesiske hacking gruppe er ansvarlig for det.

Than Angribere kompromis MS-SQL og PHPMyAdmin servere rundt om i verden, inficere dem med en cryptocurrency minearbejder, og installere rootkits, der beskytter minearbejder fra sletning.

”Overtrådt maskiner omfatter mere end 50,000 servere, der tilhører virksomheder i sundhedssektoren, telekommunikation, medie- og IT-sektorerne”, - rapport Guardicore Labs forskere.

Samlet antal downloads fra angriberens filservere. Inden en måned, hit tæller er fordoblet.
Samlet antal downloads fra angriberens filservere. Inden en måned, hit tæller er fordoblet.

Ifølge eksperter, kampagnen blev lanceret februar 26, 2019, men blev opdaget i april, når eksperter har bemærket, at kriminelle spreder 20 forskellige nyttelast hostes af forskellige udbydere.

”The Nansh0u kampagne er ikke en typisk krypto-minearbejder angreb. Det bruger teknikker ofte ses i lejl såsom falske certifikater og privilegium eskalering exploits”, - kommenterede angreb i Guardicore Labs.

Den indledende fase af angrebene er ganske enkel: angriberne finde dårligt konfigureret og sårbare Windows MS-SQL og phpMyAdmin servere på netværket, og ved hjælp af normale brute-force og port scanning kan det system, Som regel, med høje privilegier.

Næste, angriberne udføre en serie af MS-SQL-kommandoer for at hente den ondsindede nyttelast fra den eksterne server. Efter det, den malware (og det er den TurtleCoin Cryptocurrency Miner) kører med systemet privilegier – for det, hackere anvender den kendte sårbarhed CVE-2014-4113, som gør det muligt at hæve rettigheder.

Angrebet strømmen af ​​Nansh0u kampagne
Angrebet strømmen af ​​Nansh0u kampagne

Desuden, at beskytte deres malware fra fjernelse og sikre stabiliteten af ​​infektionen, angribere bruge en kernel-mode rootkit, underskrevet af en attest fra VeriSign certificeringscenter. I øjeblikket, certifikatet allerede er udløbet, UDOVER, det oprindeligt blev udstedt af den falske kinesiske selskab Hangzhou Hootian Network Technology.

“Denne kampagne blev tydeligt manipuleret fra fase af IP-adresser scanne indtil infektionen af ​​offer maskiner og minedrift krypto-mønt. imidlertid, forskellige slåfejl og fejl indebærer, at dette ikke var en grundigt testet operation”, - argumentere Guardicore Labs.

Forskerne undersøgte også angribere oprindelse.

Vi kan trygt sige, at kinesiske hackere har fungeret denne kampagne. Vi baserer denne hypotese på følgende iagttagelser:

1. Angriberen valgte at skrive deres værktøjer med EPL, en kinesisk-baserede programmeringssprog.
2. Nogle af filservere indsat for denne kampagne er hfss i kinesisk.

Opdagelse & Forebyggelse

Hvad gør dette angreb på Windows MS-SQL-servere i første omgang, er at have svage brugernavn og adgangskode til godkendelse. Så trivielt som det kan lyde, have stærke legitimationsoplysninger er forskellen mellem en inficeret og en ren maskine.

Guardicore Labs eksperter har allerede offentliggjort en liste over kompromis indikatorer, og skrev en speciel Powershell script, der vil hjælpe med at registrere Nansh0u infektion eller dets rester.

Kilde: https://www.guardicore.com

Om Trojan Killer

Carry Trojan Killer Portable på din memory stick. Vær sikker på, at du er i stand til at hjælpe din pc modstå eventuelle cyber trusler, hvor du går.

Tjek også

MageCart på Heroku Cloud Platform

Forskere har fundet flere MageCart Web Forplove On Heroku Cloud Platform

Forskere ved Malwarebytes rapporteret om at finde flere MageCart web skummere på Heroku cloud-platform …

Android Spyware CallerSpy

CallerSpy spyware masker som en Android chat applikation

Trend Micro eksperter opdagede malware CallerSpy, hvilke masker som en Android chat program og, …

Skriv et svar