Скрытые криптовалютные майнеры обнаружены на серверах Windows MS-SQL и PHPMyAdmin

mining-f_500х400
mining-f_500х400

Китайская APT-группировка внедряет криптовалютные майнеры и руткиты в серверы Windows MS-SQL и PHPMyAdmin по всему миру. По данным специалистов компании Guardicore Labs, начиная с февраля 2019 года злоумышленникам удалось скомпрометировать более 50 тысяч серверов.

Скрытые криптовалютные майнеры обнаружены на серверах Windows MS-SQL и PHPMyAdmin

Вредоносная кампания получила название Nansh0u. Злоумышленники взламывают серверы Windows MS-SQL и PHPMyAdmin с помощью брутфорса, после чего заражают их вредоносным ПО. Всего специалисты обнаружили 20 версий вредоносных модулей.

«После успешной авторизации с правами администратора атакующие загружали с удаленного сервера вредоносную полезную нагрузку, которая через уязвимость CVE-2014-4113 в драйвере win32k.sys запускалась с привилегиями SYSTEM. После чего вредоносный модуль загружал программу для добычи криптовалюты TurtleCoin», — рассказали в Guardicore Labs.

Скрытые криптовалютные майнеры обнаружены на серверах Windows MS-SQL и PHPMyAdmin

Чтобы предотвратить завершение процесса, использовался просроченный цифровой сертификат фиктивной компании Hangzhou Hootian Network Technology, выданный удостоверяющим центром Verisign.

Специалисты Guardicore Labs отмечают, что под угрозой, в первую очередь, находятся серверы с ненадежными учетными данными. Для проверки системы на предмет наличия вредоносного ПО эксперты рекомендуют воспользоваться бесплатным скриптом.

Напомним, ранее в мае браузер Firefox имплементировал защиту от скрытого майнинга.

Подписывайтесь на новости ForkLog в VK!

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK