Hackers infectan 50.000 servidores MS-SQL y PHPMyAdmin con malware rootkit

Hackers infectan 50.000 servidores MS-SQL y PHPMyAdmin con malware rootkit
malware Nansh0u MYSQL
Modificado por última vez en Sábado, 01 Junio 2019 19:07
(0 votos)

Nansh0u está instalando un sofisticado rootkit en modo kernel

Investigadores de seguridad cibernética en Guardicore Labs publicaron el miércoles un informe detallado sobre una campaña generalizada de cryptojacking que ataca los servidores de Windows MS-SQL y PHPMyAdmin en todo el mundo.

Denominada Nansh0u, la campaña maliciosa está siendo llevada a cabo por un grupo de piratería chino al estilo de APT que ya ha infectado a casi 50.000 servidores y está instalando un sofisticado rootkit en modo kernel en sistemas comprometidos para evitar que el malware finalice.

La campaña, que se remonta al 26 de febrero pero que fue detectada por primera vez a principios de abril, se ha encontrado que ofrece 20 versiones diferentes de carga útil alojadas en varios proveedores de alojamiento.

El ataque se basa en la técnica de fuerza bruta después de encontrar servidores MS-SQL y PHPMyAdmin de acceso público mediante un simple escáner de puertos.

Luego de una autenticación exitosa de inicio de sesión con privilegios administrativos, los atacantes ejecutan una secuencia de comandos de MS-SQL en el sistema comprometido para descargar la carga útil malintencionada desde un servidor de archivos remoto y ejecutarlo con privilegios de SISTEMA (SYSTEM).

En el fondo, la carga útil aprovecha una vulnerabilidad conocida de escalada de privilegios (CVE-2014-4113) para obtener privilegios de SISTEMA en los sistemas comprometidos.

"Al usar este privilegio de Windows, el exploit atacante inyecta código en el proceso Winlogon. El código inyectado crea un nuevo proceso que hereda los privilegios del SISTEMA Winlogon, proporcionando permisos equivalentes a la versión anterior".

La carga útil instala luego un malware de minería de criptomoneda en servidores comprometidos para extraer la criptomoneda TurtleCoin.

Además de esto, el malware también protege su proceso de la terminación mediante el uso de un rootkit de modo de kernel firmado digitalmente para la persistencia.

"Descubrimos que el conductor tenía una firma digital emitida por la autoridad de certificación Verisign. El certificado, que está vencido, lleva el nombre de una empresa china falsa: Hangzhou Hootian Network Technology".

Los investigadores también han publicado una lista completa de IoC (indicadores de compromiso) y un script gratuito basado en PowerShell que los administradores de Windows pueden usar para verificar si sus sistemas están infectados o no.

Como el ataque se basa en una combinación de nombre de usuario y contraseña débiles para los servidores MS-SQL y PHPMyAdmin, se recomienda a los administradores que siempre mantengan una contraseña sólida y compleja para sus cuentas.


Comentarios (0)

No hay comentarios escritos aquí

Deja tus comentarios

  1. Publicar comentario como invitado. Regístrate o ingresaa tu cuenta
Archivos adjuntos (0 / 3)
Compartir su ubicación