Скрытые криптовалютные майнеры обнаружены на серверах Windows MS-SQL и PHPMyAdmin

Китайская APT-группировка внедряет криптовалютные майнеры и руткиты в серверы Windows MS-SQL и PHPMyAdmin по всему миру. По данным специалистов компании Guardicore Labs, начиная с февраля 2019 года злоумышленникам удалось скомпрометировать более 50 тысяч серверов.

fea0f7c718e187e8e81b3c45a8f2c221

Вредоносная кампания получила название Nansh0u. Злоумышленники взламывают серверы Windows MS-SQL и PHPMyAdmin с помощью брутфорса, после чего заражают их вредоносным ПО. Всего специалисты обнаружили 20 версий вредоносных модулей.

«После успешной авторизации с правами администратора атакующие загружали с удаленного сервера вредоносную полезную нагрузку, которая через уязвимость CVE-2014-4113 в драйвере win32k.sys запускалась с привилегиями SYSTEM. После чего вредоносный модуль загружал программу для добычи криптовалюты TurtleCoin», — рассказали в Guardicore Labs.

21a9d022c65c76667ad05d9ac7f7c39e

Чтобы предотвратить завершение процесса, использовался просроченный цифровой сертификат фиктивной компании Hangzhou Hootian Network Technology, выданный удостоверяющим центром Verisign.

Специалисты Guardicore Labs отмечают, что под угрозой, в первую очередь, находятся серверы с ненадежными учетными данными. Для проверки системы на предмет наличия вредоносного ПО эксперты рекомендуют воспользоваться бесплатным скриптом.

Напомним, ранее в мае браузер Firefox имплементировал защиту от скрытого майнинга.

Источник: https://bitfeed.ru/skrytye-kriptovalyutnye-majnery-obnaruzheny-na-serverah-windows-ms-sql-i-phpmyadmin/

Add Comment

Required fields are marked *. Your email address will not be published.