Более 50 тыс. серверов Windows MS-SQL и PHPMyAdmin оказались заражены вредоносным ПО для майнинга криптовалюты.
Специалисты компании Guardicore Labs опубликовали подробный отчет о масштабной вредоносной кампании по добыче криптовалюты, в рамках которой китайская APT-группировка внедряет криптомайнеры и руткиты в серверы Windows MS-SQL и PHPMyAdmin по всему миру. По данным исследователей, злоумышленникам уже удалось скомпрометировать более 50 тыс. серверов, принадлежащих организациям в области здравоохранения, телекоммуникационной и IT-сферах.
Вредоносная кампания, получившая название Nansh0u, проводилась с конца февраля нынешнего года, однако эксперты заметили ее только в начале апреля. Злоумышленники находили доступные в интернете серверы Windows MS-SQL и PHPMyAdmin, взламывали их с помощью брутфорса, а затем заражали вредоносным ПО. Специалисты обнаружили 20 различных версий вредоносных модулей.
После успешной авторизации с правами администратора атакующие выполняли серию команд MS-SQL на скомпрометированной системе и загружали с удаленного сервера вредоносную полезную нагрузку, которая запускалась с привилегиями SYSTEM (для этого эксплуатировалась известная уязвимость CVE-2014-4113 в драйвере win32k.sys). Далее вредоносный модуль загружал программу для добычи криптовалюты TurtleCoin, а чтобы предотвратить завершение процесса, использовался просроченный цифровой сертификат, выданный удостоверяющим центром Verisign. В сертификате было указано название фиктивной китайской компании Hangzhou Hootian Network Technology.
В основном под угрозой находятся серверы с ненадежными учетными данными, в этой связи всем администраторам рекомендуется установить более сложные комбинации логинов и паролей. Эксперты также предоставили бесплатный скрипт, позволяющий проверить системы на предмет наличия вредоносного ПО.
Ссылка на скрипт: github.com/guardicore/labs_campaigns/blob/master/Nansh0u/detect_nansh0u.ps1