Der Sicherheitsanbieter Guardicore Labs hat eine angeblich aus China stammende Hackerkampagne aufgespürt, die es auf windowsbasierte SQL- und PHPMyAdmin-Server abgesehen hat. Ziel der unbekannten Hintermänner ist das Einschleusen eines Kryptominers. Bisher wurden offenbar mehr als 50.000 Server von Unternehmen aus den Bereichen Gesundheit, Telekommunikation, Medien und IT infiziert.
„Die Nansh0u-Kampange ist kein typischer Kryptominer-Angriff“, erklärten die Forscher. „Sie nutzt Techniken wie gefälschte Zertifikate und Exploits zur Ausweitung von Nutzerrechten, die häufig bei Advanced Persistent Threats zum Einsatz kommen.“
Die Infrastruktur der Kampagne soll sich nach bisherigen Erkenntnissen aus elf Servern zusammensetzen. Die Opfer sollen die Hacker mithilfe von Port-Scannern finden. Beim ersten Angriffsversuch setzen die Angreifer auf ein Brute-Force-Tool für MS-SQL-Anmeldedaten, das häufig schon zum Erfolg führen soll.
Einen kompromittierten SQL-Server bringen die Angreifer mit einem Visual-Basic-Skript dazu, bis zu 20 verschiedene Schadprogramme herunterzuladen. Jede Woche sollen zudem neue Varianten hinzukommen. Die Malware nutzt eine bereits seit 2014 bekannte Schwachstelle in Windows Vista, 7, 8, 8.1 sowie Server 2003, 2008, 2008 R2, 2012 und 2012 R2 aus, die eine nicht autorisierte Ausweitung von Nutzerrechten ermöglicht.
Mit diesen Administratorrechten wird schließlich ein Kryptominer eingerichtet und ein Kernelmodus-Rootkit eingeschleust. Es verhindert, dass der Angriff und Mining-Software abgeschaltet werden. Geschürft werden den Forschern zufolge TurtleCoins für insgesamt vier verschiedene Mining-Pools.
Das Kernelmodus-Rootkit wiederum basiert auf einem Kernelmodus-Treiber, der ein von Verisign ausgestelltes Zertifikat nutzt, das den Treiber als legitim ausgibt. Das Zertifikat wiederum enthält den Namen einer fiktiven chinesischen Firma Hangzhou Hootian Network Technology.
Auch China als Herkunftsland weist aber nicht nur das Zertifikat hin, sondern auch die Verwendung der in China entwickelten Programmiersprache EPL. Zudem seien einige der von den Hackern benutzten Server in China ansässig.
Der Hoster der für die Angriffe genutzten Server hat diese inzwischen abgeschaltet. Auch Verisign widerrief das missbrauchte Zertifikat. Die Forscher schließen jedoch nicht aus, dass die Hintermänner Server und Zertifikat für künftige Aktivitäten austauschen.
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…
Seine Trainingsdaten umfassen 3,8 Milliarden Parameter. Laut Microsoft bietet es eine ähnliche Leistung wie OpenAIs…
Sie erlaubt eine Remotecodeausführung außerhalb der Sandbox. Betroffen sind Chrome für Windows, macOS und Linux.
Probleme treten vor allem bei Nutzern von Outlook Web Access auf. Das optionale Hotfix-Update für…