Mais que 50,000 servidores MS-SQL e phpMyAdmin foram infectados por rootkits e mineiros

Especialistas de Guardicore Labs informou sobre a descoberta do Nansh0u malwares, e algum grupo pirataria chinesa é responsável por ela.

Tele atacantes compromisso MS-SQL e PHPMyAdmin servidores em todo o mundo, infectá-los com um mineiro criptomoeda, e instalar rootkits que protegem o mineiro contra exclusão.

“Máquinas violado incluem mais 50,000 servidores pertencentes a empresas na saúde, telecomunicações, mídia e setores de TI”, - relatório pesquisadores Guardicore Labs.

número total de downloads a partir de servidores de arquivos do atacante. Dentro de um mês, contagem de golpes dobraram.
número total de downloads a partir de servidores de arquivos do atacante. Dentro de um mês, contagem de golpes dobraram.

De acordo com os especialistas, a campanha foi lançada em fevereiro de 26, 2019, mas foi descoberto apenas em abril, quando os especialistas notaram que os criminosos se espalhar 20 diferentes cargas hospedados por vários fornecedores.

“A campanha Nansh0u não é um típico ataque cripto-mineiro. Ele usa técnicas, muitas vezes visto em APTS tais como certificados falsos e exploits de privilégios”, - ataques comentadas em Guardicore Labs.

A fase inicial dos ataques é bastante simples: Atacantes encontram mal configurado e servidores do Windows MS-SQL e phpMyAdmin vulneráveis ​​na rede, e usando a força bruta-normal e digitalização porta penetrar o sistema, Como uma regra, com privilégios elevados.

Próximo, atacantes executar uma série de comandos do MS-SQL para baixar o conteúdo malicioso do servidor remoto. Depois disso, o malware (e é o TurtleCoin criptomoeda Miner) é executado com privilégios de sistema – por esta, hackers aplicar a vulnerabilidade conhecida CVE-2014-4113, que permite elevar direitos.

O fluxo de ataque da campanha Nansh0u
O fluxo de ataque da campanha Nansh0u

além do que, além do mais, para proteger sua malware de remoção e garantir a estabilidade da infecção, os atacantes usam um rootkit em modo kernel, assinado por um certificado do VeriSign centro de certificação. atualmente, o certificado já expirou, ALÉM, ele foi originalmente emitido pela empresa chinesa falso Rede de Tecnologia Hootian Hangzhou.

“Esta campanha foi claramente projetado a partir da fase de IPs varredura até que a infecção de máquinas vítima e mineração do cripto-moeda. Contudo, vários erros de digitação e erros implica que esta não foi uma operação bem-testado”, - argumentar em Guardicore Labs.

Os pesquisadores também investigaram origem dos atacantes.

Podemos dizer com confiança que os invasores chineses têm operado esta campanha. Baseamos esta hipótese sobre as seguintes observações:

1. O atacante escolheu escrever suas ferramentas com EPL, uma linguagem de programação baseada em chinês.
2. Alguns dos servidores de arquivos implantados para esta campanha são ESIC em chinês.

Detecção & Prevenção

O que permite que este ataque em servidores do Windows MS-SQL em primeiro lugar, é ter usernames fracas e senhas para autenticação. Como trivial que possa parecer, Tendo credenciais forte é a diferença entre um infectado e uma máquina limpa.

Guardicore Labs especialistas já publicou uma lista de indicadores de compromisso, e escreveu um script especial PowerShell que irá ajudar a detectar a infecção Nansh0u ou seus remanescentes.

Fonte: https://www.guardicore.com

Sobre Trojan Killer

Carry Trojan Killer portátil em seu memory stick. Certifique-se que você é capaz de ajudar o seu PC resistir a quaisquer ameaças cibernéticas onde quer que vá.

Além disso, verifique

MageCart na Cloud Platform Heroku

Os investigadores encontraram vários MageCart Web Skimmers Em Heroku Cloud Platform

Pesquisadores da Malwarebytes informou sobre encontrar vários skimmers MageCart web na plataforma Heroku nuvem …

Android Spyware CallerSpy

máscaras spyware CallerSpy como uma aplicação de chat Android

Trend Micro especialistas descobriram a CallerSpy malwares, que mascara como uma aplicação de chat Android, …

Deixe uma resposta