Хакеры заразили 50 000 серверов MS-SQL и phpMyAdmin вредоносной программой Rootkit
Недавно исследователи кибербезопасности Guardicore Labs опубликовали подробный отчет о широко распространенной кампании криптоджекинга, атакующей серверы Windows MS-SQL и PHPMyAdmin по всему миру.
Названная Nansh0u, вредоносная кампания, как сообщается, осуществляется китайской хакерской группой APT-стиля, которая уже заразила почти 50000 серверов и устанавливает сложный руткит в режиме ядра на скомпрометированных системах, чтобы распространить вредоносного ПО.
Кампания, которая датируется 26 февраля, но была впервые обнаружена в начале апреля, нашла 20 различных версий полезной нагрузки, размещенных на различных хостинг-провайдеров.
Атака опирается на метод грубой силы после нахождения общедоступных серверов Windows MS-SQL и PHPMyAdmin с помощью простого сканера портов.
После успешной проверки подлинности входа с правами администратора злоумышленники выполняют последовательность команд MS-SQL в зараженной системе, чтобы загрузить вредоносную полезную нагрузку с удаленного файлового сервера и запустить ее с системными правами.
В фоновом режиме полезная нагрузка использует известную уязвимость эскалации привилегий (CVE-2014-4113) для получения системных привилегий в скомпрометированных системах.
Используя эту привилегию Windows, атакующий эксплойт вводит код в процесс Winlogon.
Введенный код создает новый процесс, который наследует системные привилегии Winlogon, предоставляя эквивалентные разрешения в предыдущей версии.
Затем полезная нагрузка устанавливает вредоносное ПО cryptocurrency mining на скомпрометированные серверы для добычи криптовалюты TurtleCoin.
Кроме того, вредоносная программа также защищает свой процесс от завершения с помощью руткита режима ядра с цифровой подписью.
Мы обнаружили, что водитель имел цифровую подпись, выданную высшим органом сертификации Verisign. Сертификат, срок действия которого истек, носит название поддельной китайской компании – Hangzhou Hootian Network Technology.
Исследователи также выпустили полный список МОК (индикаторов компрометации) и бесплатный сценарий на основе PowerShell, который администраторы Windows могут использовать для проверки заражения своих систем.
Поскольку атака основана на слабых комбинациях имени пользователя и пароля для серверов MS-SQL и PHPMyAdmin, администраторам рекомендуется всегда сохранять надежный и сложный пароль для своих учетных записей.