Nansh0u: Hacker infizieren SQL- und PHPMyAdmin-Server mit Kryptominern

Der Sicherheitsanbieter Guardicore Labs hat eine angeblich aus China stammende Hackerkampagne aufgespürt, die es auf windowsbasierte SQL- und PHPMyAdmin-Server abgesehen hat. Ziel der unbekannten Hintermänner ist das Einschleusen eines Kryptominers. Bisher wurden offenbar mehr als 50.000 Server von Unternehmen aus den Bereichen Gesundheit, Telekommunikation, Medien und IT infiziert.

Die Nansh0u genannte Kampagne bezeichneten die Forscher Ophir Harpaz und Daniel Goldberg in einem Blogeintrag als ausgeklügelte Variante von bekannten und eher primitiven Kryptomining-Angriffen. Die Attacken begannen demnach am 26. Februar. An einigen Tagen seien mehr als 700 neue Opfer registriert worden.

„Die Nansh0u-Kampange ist kein typischer Kryptominer-Angriff“, erklärten die Forscher. „Sie nutzt Techniken wie gefälschte Zertifikate und Exploits zur Ausweitung von Nutzerrechten, die häufig bei Advanced Persistent Threats zum Einsatz kommen.“

Die Infrastruktur der Kampagne soll sich nach bisherigen Erkenntnissen aus elf Servern zusammensetzen. Die Opfer sollen die Hacker mithilfe von Port-Scannern finden. Beim ersten Angriffsversuch setzen die Angreifer auf ein Brute-Force-Tool für MS-SQL-Anmeldedaten, das häufig schon zum Erfolg führen soll.

Einen kompromittierten SQL-Server bringen die Angreifer mit einem Visual-Basic-Skript dazu, bis zu 20 verschiedene Schadprogramme herunterzuladen. Jede Woche sollen zudem neue Varianten hinzukommen. Die Malware nutzt eine bereits seit 2014 bekannte Schwachstelle in Windows Vista, 7, 8, 8.1 sowie Server 2003, 2008, 2008 R2, 2012 und 2012 R2 aus, die eine nicht autorisierte Ausweitung von Nutzerrechten ermöglicht.

Mit diesen Administratorrechten wird schließlich ein Kryptominer eingerichtet und ein Kernelmodus-Rootkit eingeschleust. Es verhindert, dass der Angriff und Mining-Software abgeschaltet werden. Geschürft werden den Forschern zufolge TurtleCoins für insgesamt vier verschiedene Mining-Pools.

Das Kernelmodus-Rootkit wiederum basiert auf einem Kernelmodus-Treiber, der ein von Verisign ausgestelltes Zertifikat nutzt, das den Treiber als legitim ausgibt. Das Zertifikat wiederum enthält den Namen einer fiktiven chinesischen Firma Hangzhou Hootian Network Technology.

Auch China als Herkunftsland weist aber nicht nur das Zertifikat hin, sondern auch die Verwendung der in China entwickelten Programmiersprache EPL. Zudem seien einige der von den Hackern benutzten Server in China ansässig.

Der Hoster der für die Angriffe genutzten Server hat diese inzwischen abgeschaltet. Auch Verisign widerrief das missbrauchte Zertifikat. Die Forscher schließen jedoch nicht aus, dass die Hintermänner Server und Zertifikat für künftige Aktivitäten austauschen.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Durchgesickerte Daten: Twitch dementiert Verlust von Passwörtern

Die Angreifer haben offenbar keinen Zugriff auf die Systeme zur Speicherung von Anmeldedaten. Laut Twitch…

16 Stunden ago

Botnet MyKings nimmt mit Kryptomining fast 25 Millionen Dollar ein

Avast findet die Malware seit Anfang 2020 auf 144.000 Computern. MyKings nutzt die Rechenleistung von…

17 Stunden ago

So wehren Formel-1-Teams Cyberangriffe ab

Die Formel 1 ist ein hochkarätiger Hightech-Sport, der die Aufmerksamkeit von Cyber-Kriminellen und Hackern auf…

22 Stunden ago

Ransomware macht 5,2 Milliarden Dollar an Bitcoin-Transaktionen aus

Das US-Finanzministerium meldet, dass 5,2 Milliarden Dollar an Bitcoin-Transaktionen (BTC) im Zusammenhang mit den 10…

22 Stunden ago

GandCrab ist häufigste Ransomware

Die GandCrab Ransomware war 2020 die am häufigsten eingesetzte Erpresser-Software, während sich 2021 eher Babuk…

5 Tagen ago

Geld weg statt Liebe: iPhone-Krypto-Betrug eskaliert auch in Europa

1,2 Millionen Euro-Beute in nur einem Wallet entdeckt. Cyberganster nehmen vermehrt europäische und amerikanische Nutzer…

6 Tagen ago