Nye Nordkorea-forbundet malware stamme, sætter FBI og DHS under advarslen
Electricfish malware bruges til at skabe hemmelige veje ud af inficerede Windows-Pc ‘ er.
En frisk bølge af angreb mod MS-SQL og PHPMyAdmin servere er blevet fundet over hele kloden, der blev lanceret i søgen efter cryptocurrency.
Over 50.000 servere, der tilhører organisationer i sundhedsvæsenet, telekommunikation, medier, og DET har været inficeret, Guardicore Labs sagde onsdag.
Ofir Harpaz og Daniel Goldberg, forskere fra Guardicore, sagde i et blog-indlæg, at den såkaldte Nansh0u kampagne er en sofistikeret tage mere primitive cryptocurrency minedrift angreb.
I løbet af de seneste to måneder, Guardicore har dokumenteret, at det kompromis for Windows, MS-SQL og PHPMyAdmin servere, med oprindelse på 26 februar 2019. Over syv hundrede ofre per dag blev dokumenteret i nogle tilfælde.
“Nansh0u kampagne er ikke en typisk crypto-miner angreb,” siger forskere. “Det bruger teknikker, der ofte ses i advanced persistent threats (S), såsom falske certifikater og rettighedsforøgelse udnytter.”
Fem angreb servere og seks slut-tilbage-servere, forudsat at den nødvendige infrastruktur til Nansh0u. Når et offer server blev identificeret via en port scanner, truslen aktører vil først forsøge at få adgang til systemet via MS-SQL brute-force angreb redskaber, der stilles muligt, når svage konto legitimationsoplysninger, der var i spil.
I mange tilfælde, denne teknik vist sig at være en succes, der giver hackere adgang til en konto med administrative rettigheder. Disse legitimationsoplysninger var også gemmes til fremtidig brug.
Efter at have fået IP adresser, porte, brugernavne og adgangskoder for sårbare servere, hackere vil derefter manipulere med indstillinger for en server, og en Visual-Basic-script-fil vil blive oprettet på offerets system til at hente skadelige filer fra angriberne’ servere.
Forskerne registreret 20 separat ondsindet nyttelast, der anvendes under Nansh0u, med nye varianter skabt ugentligt.
Se også: Cybersecurity 101: at Beskytte dine personlige oplysninger fra hackere, spioner, og regeringen
Den nyttelast gjort brug af CVE-2014-4113, en svaghed, først rapporteret i 2014, og som virkninger win32k.sys i Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 og R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012, Guld og R2 og Windows RT Guld og 8.1.
Hvis det udnyttes, sårbarhed tillader rettighedsforøgelse via et fabrikeret ansøgning.
Når en server med held blev kompromitteret, nyttelast faldt en cryptocurrency miner og installeret et avanceret kernel-mode rootkit til at opretholde persistens og forhindre minedrift malware i at blive opsagt.
Den cryptocurrency minearbejdere faldet med malware mine for TurtleCoin på vegne af fire forskellige minedrift pools eller gøre brug af XMRig, en open-source Monero minedrift script.
CNET: Huawei forbud: Fuld tidslinje på, hvordan og hvorfor-telefoner er under beskydning
Mange af nyttelast er også faldet en kernel-mode driver underskrevet af Verisign, der anvendes til at forhindre processer-såsom miner — fra at være stoppet. I løbet af den tid, de var kampagnen aktiv, Verisign sign-off sikres, at den driver, der blev anset for legitime og ville passere sikkerhedskontrollen. Hertil kommer, at chaufføren var beskyttet med VMProtect for at foretage reverse engineering software svært.
Attesten navn for en falsk Kinesiske selskab, Hangzhou Hootian Netværk Teknologi.
TechRepublic: Hvordan man kan forbedre cloud-udbyder sikkerhed: 4 tips
Nansh0u menes at stamme fra Kina, da angriberen certifikatet og brug af EPL, et programmeringssprog, der er udviklet på Kinesisk. Hertil kommer, at nogle af fil-servere, der bruges under den kampagne, er baseret på Kinesisk, og mange af de log-filer og binære filer, der er indeholdt Kinesiske strenge.
“Beslutningen om at skrive en stor del af infrastrukturen i en relativt esoteriske sprog er usædvanligt,” forskerne tilføjet. “Det lader til, at de værktøjer, der indtil for nylig tilhørte nation state-niveau hackere, er i dag ejet af selv almindelige kriminelle.”
Guardicore nåede ud til hosting-udbyderen af de servere, der bruges til at lette angreb, sammen med Verisign. De servere, har nu taget ned, og certifikatet er blevet tilbagekaldt, men dette betyder ikke, at kampagnen vil ikke vende tilbage med et nyt sæt af servere og sikkerheds-certifikat i fremtiden.
Tidligere og relaterede dækning
CrowdStrike, NSS Labs løse retten slag over produktet test
Equifax rating outlook decimeret over cybersecurity brud
Snapchat interne værktøjer kan misbruges til at udspionere brugere og plyndre data
Har du et tip? Komme i kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre