Nya Nordkorea kopplat malware stam sätter FBI och DHS under registrering
Electricfish skadlig kod som används för att smida hemliga vägar ut ur infekterade Windows-Datorer.
En ny våg av attacker mot MS-SQL och PHPMyAdmin servrar har upptäckts över hela världen, som lanserades i strävan efter cryptocurrency.
Över 50 000 servrar som tillhör organisationer i hälso-och sjukvård, telekommunikation, media, och DET har varit infekterade, Guardicore Labs sade på onsdagen.
Ofir Harpaz och Daniel Goldberg, forskare från Guardicore, sade i ett blogginlägg att de så kallade Nansh0u kampanjen är en sofistikerad ta på mer primitiva cryptocurrency gruv-attacker.
Under de senaste två månaderna, Guardicore har dokumenterat kompromiss av Windows och MS-SQL och PHPMyAdmin servrar, med ursprung på februari 26, 2019. Över sju hundra offer per dag var dokumenterade i vissa fall.
“Nansh0u kampanj är inte en typisk crypto-miner attack,” forskarna säger. “Det använder tekniker som ofta ses i avancerade ihållande hot (APTs) som falska intyg och eskalering utnyttjar.”
Fem attackera servrar och sex koppla tillbaka servrar som tillhandahålls av den infrastruktur som behövs för Nansh0u. När ett offer server identifierades via en scanner port, hot aktörer skulle första försök att komma åt systemet via MS-SQL brute-force-attack verktyg gjort det möjligt när svaga kontouppgifter som var i spel.
I många fall, denna teknik har visat sig vara framgångsrikt, att ge angripare åtkomst till ett konto med administrativa privilegier. Dessa referenser har också sparas för framtida bruk.
Efter att erhålla IP-adresser, portar, användarnamn och lösenord för utsatta servrar, hackare skulle sedan mixtra med inställningar för server och Visual-Basic-skript-fil skapas på offret system för att hämta skadliga filer från angripare ” – servrar.
Forskarna spelade in 20 olika skadliga nyttolaster som används under Nansh0u, med nya varianter skapas varje vecka.
Se även: It-säkerhet 101: Skydda din integritet från hackare, spioner, och regeringen
Lasten gjorde att använda CVE-2014-4113, en sårbarhet redovisas först 2014 som påverkar win32k.sys i Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 och R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Guld och R2 och Windows RT Guld och 8.1.
Om utnyttjade sårbarheten medger utökning av privilegier med hjälp av en specialskriven ansökan.
När en server var framgångsrikt äventyras, nyttolaster tappade en cryptocurrency miner och installerat en sofistikerad kernel-läge rootkit för att upprätthålla uthållighet och förhindra utvinning av skadliga program från att avslutas.
Den cryptocurrency gruvarbetare sjunkit med skadlig kod mig för TurtleCoin på uppdrag av fyra olika gruvdrift pooler eller använda XMRig, ett open-source Monero gruv-script.
CNET: Huawei förbud: Full tidslinje på hur och varför sina telefoner under brand
Många av de nyttolaster också sjunkit en kernel-mode driver undertecknad av Verisign som används för att förhindra processer-såsom miner — stoppas. Under den tid kampanjen var aktiv, Verisign-sign-off säkerställas att föraren anses legitimt och skulle passera säkerhetskontrollen. Dessutom föraren var skyddad med VMProtect för att göra reverse engineering programvara svårt.
Intyget innehöll namnet för en falsk Kinesiska företag, Hangzhou Hootian nätverksteknik.
TechRepublic: Hur kan man förbättra cloud provider säkerhet: 4 tips
Nansh0u tros ha sitt ursprung från Kina, med tanke på angriparens certifikat och användning av EPL, ett programmeringsspråk som har utvecklats i Kinesiska. Dessutom några av de servrar som används under kampanjen är baserad på Kinesiska, och många av loggfiler och binärer som finns Kinesiska strängar.
“Beslutet att skriva en stor del av infrastrukturen i en relativt esoterisk språket är ovanligt,” forskarna lade till. “Det verkar som verktyg, som tills nyligen tillhörde nation state-nivå hackare, är idag tillhör även vanliga brottslingar.”
Guardicore nått ut till webbhotell leverantör av servrar som används för att underlätta attack, vid sidan av Verisign. Servrarna har nu tagits ner och intyget återkallas, men det betyder inte att kampanjen kommer inte tillbaka med en ny uppsättning av servrar och ett säkerhetscertifikat i framtiden.
Tidigare och relaterade täckning
CrowdStrike, NSS Labs lösa domstolen striden över produkttester
Equifax kreditutsikter decimerade över cybersäkerhet brott
Snapchat interna verktyg utnyttjas för att spionera på användarna och plundring data
Har ett tips? Komma i kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter