Een nieuw rapport door Guardicore Labs heeft de details van een heersende cryptojacking geschetst (cryptomining) operatie gericht Windows MS-SQL en PHPMyAdmin servers op een wereldwijde schaal.
Verwant: New Scranos Rookit kan beschadigen uw systeem op verschillende manieren
Nansh0u Malware Campagne: sommige Details
De kwaadaardige campagne is nagesynchroniseerd Nansh0u en wordt bestuurd door een Chinese hacking groep. De groep geïnfecteerde tenminste 50,000 servers met een geavanceerde kernel-mode rootkit die malware verhindert beëindigd.
Volgens het rapport, de besmette servers behoren tot bedrijven in de gezondheidszorg, telecommunicatie, media en de IT-sector.
De onderzoekers observeerden de vrijlating en de inzet van 20 verschillende payload versies tijdens de campagne. Ook kregen ze in contact met de hosting provider van de aanval servers, alsmede de uitgever van de rootkit certificaat. Dientengevolge, de aanval servers werden afgebroken en het certificaat is ingetrokken, aldus het rapport.
Merk op dat de Nansh0u campagne is niet een typisch cryptojacking aanval. Het maakt gebruik van technieken waargenomen in geavanceerde aanhoudende dreigingen, zoals nep-certificaten en rechten escalatie exploits. De campagne laat zien gewoon dat geavanceerde kwaadaardige instrumenten ook kan worden gebruikt door niet-zo-geavanceerde en bekwame aanvallers.
Hoe wordt de Nansh0u opgezette aanval?
De aanvallers eerste lokaliseren publiek toegankelijke Windows MS-SQL en PHPMyAdmin servers via een poort scanner. Dan, ze gebruiken brute-dwingen en het verkrijgen adminvoorrechten uitvoeren van een sequentie van MS-SQL-opdrachten op de besmette systeem. Zodra dit is gebeurd, de kwaadaardige lading wordt gedownload van een remote file server en wordt uitgevoerd met systeemrechten.
Een specifieke kwetsbaarheid is ook opgenomen in de aanval scenario – CVE-2014-4113. Dit laatste is een bekend privilegebreuk bug ingezet om SYSTEM privileges te krijgen op gecompromitteerde hosts.
Hier is de officiële beschrijving van de kwetsbaarheid:
Win32k.sys in de kernel-mode drivers in Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 en R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Goud en R2, en Windows RT Gold en 8.1 maakt lokale gebruikers om rechten te krijgen via een vervaardigde toepassing, als uitgebuit in het wild in oktober 2014, aka “Win32k.sys misbruik van bevoegdheden.”
Het lek helpt profiteren van de Winlogon-proces door het injecteren van code in deze. De geïnjecteerde code wordt een nieuwe werkwijze die Winlogon systeemprivileges erft, die gelijkwaardige rechten als vorige versie, de onderzoekers verklaard. Nadat dit is allemaal gedaan, de payload installeert een crypto-mining van malware naar een cryptogeld bekend als TurtleCoin delven.
Net als bij vele andere aanvallen, Nansh0u de bewerking te vertrouwen op een combinatie van zwakke gebruikersnamen en wachtwoorden voor MS-SQL en PHPMyAdmin servers. Om kwaadaardige exploits te voorkomen, beheerders moet altijd sterk, complexe wachtwoorden voor hun rekeningen.