Компания Guardicore Labs выявила деятельность целой хакерской группировки, которая занималась внедрением скрытых майнинговых программ и руткитов в серверы Windows MS-SQL и PHPMyAdmin. Аналитики Guardicore Labs утверждают, что в течение 2019 года хакеры атаковали порядка 50 тысяч серверов. По некоторым сведениям, данной деятельностью промышляет китайская APT-группа. Их кампания затронула компьютеры по всему миру и получила название Nansh0u.
Уже доподлинно известно, что для взлома серверов Windows MS-SQL и PHPMyAdmin, группировка применяла брутфорс, затем загружала в них вирусные ПО. У злоумышленников был достаточно широкий арсенал, специалисты компании Guardicore Labs обнаружили целых 20 разновидностей вредоносных модулей. Хакеры проходили авторизацию на правах администратора, а затем использовали уязвимость CVE-2014-4113 в драйвере win32k.sys для установки вредоносных ПО. Впоследствии они загружали на взломанный сервер программу для скрытой добычи криптовалют – TurtleCoin.
У злоумышленников была фиктивная компания Hangzhou Hootian Network Technology. Ее просроченный цифровой сертификат хакеры использовали, чтобы избежать завершения процесса. Сертификат был получен в удостоверяющем центре Verisign.
Компания Guardicore Labs предлагает всем желающим бесплатно воспользоваться своим скриптом, который поможет определить, есть ли в системе вирусные программы. Специалисты по безопасности подчеркнули, что под угрозу атаки Nansh0u могут попасть те серверы, где учетные данные ненадежны.
Источник: cryptorussia.ru
Уже доподлинно известно, что для взлома серверов Windows MS-SQL и PHPMyAdmin, группировка применяла брутфорс, затем загружала в них вирусные ПО. У злоумышленников был достаточно широкий арсенал, специалисты компании Guardicore Labs обнаружили целых 20 разновидностей вредоносных модулей. Хакеры проходили авторизацию на правах администратора, а затем использовали уязвимость CVE-2014-4113 в драйвере win32k.sys для установки вредоносных ПО. Впоследствии они загружали на взломанный сервер программу для скрытой добычи криптовалют – TurtleCoin.
У злоумышленников была фиктивная компания Hangzhou Hootian Network Technology. Ее просроченный цифровой сертификат хакеры использовали, чтобы избежать завершения процесса. Сертификат был получен в удостоверяющем центре Verisign.
Компания Guardicore Labs предлагает всем желающим бесплатно воспользоваться своим скриптом, который поможет определить, есть ли в системе вирусные программы. Специалисты по безопасности подчеркнули, что под угрозу атаки Nansh0u могут попасть те серверы, где учетные данные ненадежны.
Источник: cryptorussia.ru
