Nuova Corea del Nord-linked malware ceppo mette FBI e DHS in avviso
Electricfish malware viene utilizzato per forgiare covert percorsi di infetta Pc Windows.
Una nuova ondata di attacchi contro e MS-SQL di PHPMyAdmin server è stato rilevato in tutto il mondo, ha lanciato nella ricerca di cryptocurrency.
Oltre 50.000 server appartenenti a organizzazioni nel settore della sanità, le telecomunicazioni, i media, e sono stati infettati, Guardicore Labs ha detto il mercoledì.
Ophir Harpaz e Daniel Goldberg, ricercatori Guardicore, ha detto in un post sul blog che il cosiddetto Nansh0u campagna è una sofisticata più primitiva di cryptocurrency di data mining attacchi.
Negli ultimi due mesi, Guardicore ha documentato il compromesso di Windows e MS-SQL di PHPMyAdmin server, originario 26 febbraio 2019. Oltre sette centinaia di vittime al giorno sono stati documentati in alcuni casi.
“Il Nansh0u campagna non è un tipico crypto-minatore in attacco”, hanno detto i ricercatori. “Si serve di tecniche spesso visto in minacce avanzate persistenti (Apt) come falsi certificati e privilege escalation exploit.”
Cinque server di attacco e sei connect-retro server fornito l’infrastruttura necessaria per Nansh0u. Quando una vittima server è stato identificato tramite un port scanner, la minaccia attori prima di tentare di accedere al sistema tramite MS-SQL attacco di forza bruta strumenti reso possibile quando il debole credenziali dell’account erano in gioco.
In molti casi, questa tecnica si è rivelata di successo, dando gli aggressori di accedere a un account con privilegi amministrativi. Queste credenziali sono anche salvate per un uso futuro.
Dopo aver ottenuto gli indirizzi IP, le porte, i nomi utente e le password dei server vulnerabile, l’hacker avrebbe manomettere le impostazioni del server e Visual-Basic script file sarà creato sulla vittima di sistema per scaricare file dannosi da aggressori server.
I ricercatori hanno registrato 20 separato payload dannosi utilizzati durante Nansh0u, con nuove varianti settimanale creato.
Vedi anche: Cybersecurity 101: Proteggere la vostra privacy da parte di hacker, spie, e il governo
Il payload fatto uso di CVE-2014-4113, una vulnerabilità segnalata nel 2014 che gli impatti win32k.sys in Microsoft Windows Server 2003 SP2, microsoft Windows Vista SP2, Windows Server 2008 SP2 e R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Oro e R2 e Windows RT Oro e 8.1.
Se sfruttata, la vulnerabilità può consentire a una escalation di privilegi tramite un applicazione predisposta.
Una volta che un server è stata compromessa, il payload è caduto un cryptocurrency minatore e installato un sofisticato in modalità kernel rootkit per mantenere la persistenza e prevenire il data mining malware dall’essere terminato.
Il cryptocurrency minatori è caduto dal malware miniera per TurtleCoin a favore di quattro di data mining diverse piscine o fare uso di XMRig, un open-source Monero di data mining script.
CNET: Huawei ban: Full timeline su come e perché i suoi telefoni sono sotto il fuoco
Molti dei payload anche caduto un driver in modalità kernel firmato da Verisign usato per prevenire processi-come il minatore — arrestati. Durante il tempo che la campagna è attiva, il simbolo Verisign sign-off accertato che il driver è stato ritenuto legittimo e vorresti passare i controlli di sicurezza. Inoltre, il driver è stato protetto con VMProtect per fare il reverse engineering del software difficile.
Il certificato contenuto il nome di un falso società Cinese di Hangzhou Hootian Tecnologia di Rete.
TechRepublic: Come migliorare il fornitore di servizi cloud security: 4 consigli
Nansh0u si crede abbia avuto origine dalla Cina, dato l’attaccante del certificato e l’uso di EPL, un linguaggio di programmazione sviluppato in Cinese. Inoltre, alcuni file server utilizzati durante la campagna sono basati in Cinese, e molti dei file di log e i file binari contenuti in Cinese stringhe.
“La decisione di scrivere una parte importante dell’infrastruttura relativamente linguaggio esoterico è insolito,” i ricercatori hanno aggiunto. “Sembra che gli strumenti, che fino a poco tempo fa apparteneva alla nazione, a livello statale, gli hacker, sono oggi di proprietà di anche criminali comuni.”
Guardicore raggiunto il fornitore di hosting di server utilizzati per facilitare l’attacco, al fianco di Verisign. Il server è ora stata presa verso il basso e il certificato revocato, ma questo non significa che la campagna non tornare con una nuova serie di server e di un lavoro certificato di sicurezza in futuro.
Precedente e relativa copertura
CrowdStrike, NSS Labs risolvere corte battaglia per test di prodotto
Equifax rating outlook decimati negli cybersecurity violazione
Snapchat strumenti interni abusato per spiare gli utenti e il saccheggio dei dati
Ha un suggerimento? Entrare in contatto in modo sicuro tramite WhatsApp | Segnale a +447713 025 499, o oltre a Keybase: charlie0
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati