Оригинал: https://www.freebuf.com/news/204904{.}html
Недавно команда Guardicore Labs заявила, что обнаружила большое количество серверов MS-SQL и PHPMyAdmin, атакованных китайскими хакерами и используемых для добычи TurtleCoin, общим числом более 50 000 единиц.
Кампания была обнаружена в начале апреля и стартовала 26 февраля, нацелившись на различные отрасли, включая здравоохранение, телекоммуникации, СМИ и интернет. На атакуемых серверах устанавливается руткит, чтобы предотвратить завершение работы вредоносной программы. По данным команды Guardicore, каждый день добавляется более 700 новых жертв, а в ходе расследования было обнаружено 20 версий полезной нагрузки, причем каждую неделю создается как минимум одна новая.
Команда Guardicore указала на определенного пост-доминантного игрока в Китае из-за ряда особенностей поведения:
тот факт, что инструмент был написан на EPL, китайском языке программирования
некоторые файловые серверы, на которых была развернута серия вредоносных программ, имели HFS на китайском языке
многие файлы журналов и двоичные файлы на серверах содержат китайские строки, такие как "result-de-duplicate", "start" и т.д.
Для компрометации серверов Windows MS-SQL и PHPMyAdmin хакеры использовали ряд инструментов, включая сканеры портов, инструменты перебора MS-SQL и модули удаленного выполнения.
Сканер портов позволяет атакующему найти соответствующий сервер, проверяя, открыт ли порт MS-SQL по умолчанию, и автоматически отправляет инструмент брутфорса. После взлома сервера злоумышленник заражает компьютер скриптом и выполняет серию команд, после чего автоматически загружает вредоносную полезную нагрузку и запускает ее.
Вредонос использует известную уязвимость повышения привилегий (CVE-2014-4113) для получения прав администратора в системе, после чего загружает вредоносное ПО и автоматически начинает добычу TurtleCoin.
Проанализировав образцы, исследователи Guardicore обнаружили, что возможности вредоносного ПО включают в себя:
Майнинг криптовалюты;
Обеспечение стойкости путем переписывания реестра;
Использование руткита для защиты процесса майнинга от завершения;
Применение механизма "watchdog" для обеспечения непрерывной работы майнинга..
Среди большого количества полезных нагрузок, размещенных на зараженном сервере, был случайно названный VMProtect-обфусцированный драйвер режима ядра - программа, позволяющая избежать обнаружения большинством AV-движков. Кроме того, программа имела ныне отозванный сертификат, выданный Verisign китайской компании HangZhou Hootian Network Technology для "защиты процесса и предотвращения завершения работы пользователя".
Кроме того, вредоносная программа содержит другие функции руткита, такие как взаимодействие с физическими аппаратными устройствами и модификация внутренних процессов Windows, которые не используются данной конкретной вредоносной программой. Его драйвер в режиме ядра гарантирует, что процессы вредоносной программы не будут прерваны, а программа поддерживает практически все версии Windows от Windows 7 до Windows 10, включая бета-версии.
Команда Guardicore предоставила полный список IoCs [портал] для этой кампании криптоджекинга, включая хэш, IP-адреса, использованные во время атаки, и пул для майнинга, а также загрузила сценарий Powershell [портал] для поиска остатков активности Nansh0u на зараженных машинах и обнаружения потенциально зараженных серверов.
Команда также заявила, что эта хакерская кампания еще раз доказывает, что обычные пароли по-прежнему являются самым слабым звеном в современном процессе атак. Видя тысячи серверов, потерянных в результате атак методом перебора из-за простых паролей, мы настоятельно рекомендуем пользователям, предприятиям и организациям использовать надежные пароли и сегментацию сети для защиты своих сетевых активов.
Недавно команда Guardicore Labs заявила, что обнаружила большое количество серверов MS-SQL и PHPMyAdmin, атакованных китайскими хакерами и используемых для добычи TurtleCoin, общим числом более 50 000 единиц.
Кампания была обнаружена в начале апреля и стартовала 26 февраля, нацелившись на различные отрасли, включая здравоохранение, телекоммуникации, СМИ и интернет. На атакуемых серверах устанавливается руткит, чтобы предотвратить завершение работы вредоносной программы. По данным команды Guardicore, каждый день добавляется более 700 новых жертв, а в ходе расследования было обнаружено 20 версий полезной нагрузки, причем каждую неделю создается как минимум одна новая.
Команда Guardicore указала на определенного пост-доминантного игрока в Китае из-за ряда особенностей поведения:
тот факт, что инструмент был написан на EPL, китайском языке программирования
некоторые файловые серверы, на которых была развернута серия вредоносных программ, имели HFS на китайском языке
многие файлы журналов и двоичные файлы на серверах содержат китайские строки, такие как "result-de-duplicate", "start" и т.д.
Для компрометации серверов Windows MS-SQL и PHPMyAdmin хакеры использовали ряд инструментов, включая сканеры портов, инструменты перебора MS-SQL и модули удаленного выполнения.
Сканер портов позволяет атакующему найти соответствующий сервер, проверяя, открыт ли порт MS-SQL по умолчанию, и автоматически отправляет инструмент брутфорса. После взлома сервера злоумышленник заражает компьютер скриптом и выполняет серию команд, после чего автоматически загружает вредоносную полезную нагрузку и запускает ее.
Вредонос использует известную уязвимость повышения привилегий (CVE-2014-4113) для получения прав администратора в системе, после чего загружает вредоносное ПО и автоматически начинает добычу TurtleCoin.
Проанализировав образцы, исследователи Guardicore обнаружили, что возможности вредоносного ПО включают в себя:
Майнинг криптовалюты;
Обеспечение стойкости путем переписывания реестра;
Использование руткита для защиты процесса майнинга от завершения;
Применение механизма "watchdog" для обеспечения непрерывной работы майнинга..
Среди большого количества полезных нагрузок, размещенных на зараженном сервере, был случайно названный VMProtect-обфусцированный драйвер режима ядра - программа, позволяющая избежать обнаружения большинством AV-движков. Кроме того, программа имела ныне отозванный сертификат, выданный Verisign китайской компании HangZhou Hootian Network Technology для "защиты процесса и предотвращения завершения работы пользователя".
Кроме того, вредоносная программа содержит другие функции руткита, такие как взаимодействие с физическими аппаратными устройствами и модификация внутренних процессов Windows, которые не используются данной конкретной вредоносной программой. Его драйвер в режиме ядра гарантирует, что процессы вредоносной программы не будут прерваны, а программа поддерживает практически все версии Windows от Windows 7 до Windows 10, включая бета-версии.
Команда Guardicore предоставила полный список IoCs [портал] для этой кампании криптоджекинга, включая хэш, IP-адреса, использованные во время атаки, и пул для майнинга, а также загрузила сценарий Powershell [портал] для поиска остатков активности Nansh0u на зараженных машинах и обнаружения потенциально зараженных серверов.
Команда также заявила, что эта хакерская кампания еще раз доказывает, что обычные пароли по-прежнему являются самым слабым звеном в современном процессе атак. Видя тысячи серверов, потерянных в результате атак методом перебора из-за простых паролей, мы настоятельно рекомендуем пользователям, предприятиям и организациям использовать надежные пароли и сегментацию сети для защиты своих сетевых активов.