Китайская APT-группировка внедряет криптовалютные майнеры и руткиты в серверы Windows MS-SQL и PHPMyAdmin по всему миру. По данным специалистов компании Guardicore Labs, начиная с февраля 2019 года злоумышленникам удалось скомпрометировать более 50 тысяч серверов.
Вредоносная кампания получила название Nansh0u. Злоумышленники взламывают серверы Windows MS-SQL и PHPMyAdmin с помощью брутфорса, после чего заражают их вредоносным ПО. Всего специалисты обнаружили 20 версий вредоносных модулей.
«После успешной авторизации с правами администратора атакующие загружали с удаленного сервера вредоносную полезную нагрузку, которая через уязвимость CVE-2014-4113 в драйвере win32k.sys запускалась с привилегиями SYSTEM. После чего вредоносный модуль загружал программу для добычи криптовалюты TurtleCoin», — рассказали в Guardicore Labs.
Чтобы предотвратить завершение процесса, использовался просроченный цифровой сертификат фиктивной компании Hangzhou Hootian Network Technology, выданный удостоверяющим центром Verisign.
Специалисты Guardicore Labs отмечают, что под угрозой, в первую очередь, находятся серверы с ненадежными учетными данными. Для проверки системы на предмет наличия вредоносного ПО эксперты рекомендуют воспользоваться бесплатным скриптом.
Напомним, ранее в мае браузер Firefox имплементировал защиту от скрытого майнинга.
