نفوذگران ۵۰ هزار سرور MS-SQL و PHPMyAdmin را با بدافزار روت‌کیت آلوده می‌کنند

پژوهش‌گران امنیت سایبری در Guardicore Labs گزارش مفصلی درباره‌ی یک پویش گسترده‌ی سرقت رمزارز منتشر کردند که به کارگزارهای  MS-SQL و PHPMyAdmin در سراسر جهان حمله می‌کند. این پویش مخرب به نام Nansh0u توسط یک گروه نفوذ چینی APT انجام می‌شود که حدود ۵۰ هزار کارگزار را آلوده کرده است و یک روت‌کیت پیچیده‌ی حالت هسته در سیستم‌های آسیب‌دیده نصب می‌کند تا از غیرفعال شدن بدافزار جلوگیری کنند.

این پویش از ۲۶ فوریه آغاز شده اما اولین بار در اوایل ماه آوریل شناسایی شده است و ۲۰ نوع بار داده‌ی متفاوت میزبانی‌شده در ارائه‌دهندگان خدمات میزبانی را توزیع می‌کند. این حمله پس از یافتن سرورهای ویندوز MS-SQL و PHPMyAdmin با استفاده از یک اسکنر پورت ساده، به روش کورکورانه متکی است. پس از احراز هویت ورود موفق با امتیازهای مدیریتی، مهاجمان یک توالی از دستورات MS-SQL را در سیستم آسیب‌دیده اجرا می‌کنند تا بار داده‌ی مخرب را از یک سرور فایل راه دور بارگیری و با امتیازات SYSTEM اجرا کنند.

این بارداده در پس‌زمینه از یک آسیب‌پذیری ارتقاء امتیاز شناخته‌شده با شناسه‌ی CVE-2014-4113 استفاده می‌کند تا به امتیازات SYSTEM در سیستم‌های آسیب‌دیده دست یابد. این بهره‌برداری بااستفاده از امتیاز ویندوز به فرآیند Winlogon کد تزریق می‌کند. کد تزریق‌شده یک فرآیند جدید ایجاد می‌کند که از امتیازهای SYSTEM متعلق به Winlogon ارث می‌برد و مجوزهای معادل را ارائه می‌دهد.

سپس این بارداده یک بدافزار استخراج رمزارز در سرورهای آسیب‌دیده نصب می‌کند تا رمزارز TurtleCoin استخراج کند. علاوه‌بر آن، این بدافزار با استفاده از یک روت‌کیت حالت هسته با امضای دیجیتال، از فرآیند خود محافظت می‌کند تا خاتمه داده نشود.

پژوهش‌گران فهرست کاملی از IoC‌ها و یک اسکریپت رایگان مبتنی‌بر PowerShell منتشر کرده‌اند که مدیران ویندوز می‌توانند از آن برای بررسی آلوده بودن سیستم‌ها استفاده کنند. از آن‌جا که این حمله به ترکیبی از یک نام کاربری و گذرواژه‌ی ضعیف برای سرورهای MS-SQl و PHPMyAdmin متکی است، به مدیران توصیه می‌شود که همیشه یک گذرواژه‌ی قوی و پیچیده برای حسا‌ب‌های خود انتخاب کنند.

منبع

Related posts

Leave a Comment

2 × 5 =