پژوهشگران امنیت سایبری در Guardicore Labs گزارش مفصلی دربارهی یک پویش گستردهی سرقت رمزارز منتشر کردند که به کارگزارهای MS-SQL و PHPMyAdmin در سراسر جهان حمله میکند. این پویش مخرب به نام Nansh0u توسط یک گروه نفوذ چینی APT انجام میشود که حدود ۵۰ هزار کارگزار را آلوده کرده است و یک روتکیت پیچیدهی حالت هسته در سیستمهای آسیبدیده نصب میکند تا از غیرفعال شدن بدافزار جلوگیری کنند.
این پویش از ۲۶ فوریه آغاز شده اما اولین بار در اوایل ماه آوریل شناسایی شده است و ۲۰ نوع بار دادهی متفاوت میزبانیشده در ارائهدهندگان خدمات میزبانی را توزیع میکند. این حمله پس از یافتن سرورهای ویندوز MS-SQL و PHPMyAdmin با استفاده از یک اسکنر پورت ساده، به روش کورکورانه متکی است. پس از احراز هویت ورود موفق با امتیازهای مدیریتی، مهاجمان یک توالی از دستورات MS-SQL را در سیستم آسیبدیده اجرا میکنند تا بار دادهی مخرب را از یک سرور فایل راه دور بارگیری و با امتیازات SYSTEM اجرا کنند.
این بارداده در پسزمینه از یک آسیبپذیری ارتقاء امتیاز شناختهشده با شناسهی CVE-2014-4113 استفاده میکند تا به امتیازات SYSTEM در سیستمهای آسیبدیده دست یابد. این بهرهبرداری بااستفاده از امتیاز ویندوز به فرآیند Winlogon کد تزریق میکند. کد تزریقشده یک فرآیند جدید ایجاد میکند که از امتیازهای SYSTEM متعلق به Winlogon ارث میبرد و مجوزهای معادل را ارائه میدهد.
سپس این بارداده یک بدافزار استخراج رمزارز در سرورهای آسیبدیده نصب میکند تا رمزارز TurtleCoin استخراج کند. علاوهبر آن، این بدافزار با استفاده از یک روتکیت حالت هسته با امضای دیجیتال، از فرآیند خود محافظت میکند تا خاتمه داده نشود.
پژوهشگران فهرست کاملی از IoCها و یک اسکریپت رایگان مبتنیبر PowerShell منتشر کردهاند که مدیران ویندوز میتوانند از آن برای بررسی آلوده بودن سیستمها استفاده کنند. از آنجا که این حمله به ترکیبی از یک نام کاربری و گذرواژهی ضعیف برای سرورهای MS-SQl و PHPMyAdmin متکی است، به مدیران توصیه میشود که همیشه یک گذرواژهی قوی و پیچیده برای حسابهای خود انتخاب کنند.
