Скрытые криптовалютные майнеры обнаружены на серверах Windows MS-SQL и PHPMyAdmin

Китайская APT-группировка внедряет криптовалютные майнеры и руткиты в серверы Windows MS-SQL и PHPMyAdmin по всему миру. По данным специалистов компании Guardicore Labs, начиная с февраля 2019 года злоумышленникам удалось скомпрометировать более 50 тысяч серверов.

Вредоносная кампания получила название Nansh0u. Злоумышленники взламывают серверы Windows MS-SQL и PHPMyAdmin с помощью брутфорса, после чего заражают их вредоносным ПО. Всего специалисты обнаружили 20 версий вредоносных модулей.

«После успешной авторизации с правами администратора атакующие загружали с удаленного сервера вредоносную полезную нагрузку, которая через уязвимость CVE-2014-4113 в драйвере win32k.sys запускалась с привилегиями SYSTEM. После чего вредоносный модуль загружал программу для добычи криптовалюты TurtleCoin», — рассказали в Guardicore Labs.

Чтобы предотвратить завершение процесса, использовался просроченный цифровой сертификат фиктивной компании Hangzhou Hootian Network Technology, выданный удостоверяющим центром Verisign.

Специалисты Guardicore Labs отмечают, что под угрозой, в первую очередь, находятся серверы с ненадежными учетными данными. Для проверки системы на предмет наличия вредоносного ПО эксперты рекомендуют воспользоваться бесплатным скриптом.

Напомним, ранее в мае браузер Firefox имплементировал защиту от скрытого майнинга.

Подписывайтесь на новости ForkLog в VK!