Der Sicherheitsanbieter Guardicore Labs hat eine angeblich aus China stammende Hackerkampagne aufgespürt, die es auf windowsbasierte SQL- und PHPMyAdmin-Server abgesehen hat. Ziel der unbekannten Hintermänner ist das Einschleusen eines Kryptominers. Bisher wurden offenbar mehr als 50.000 Server von Unternehmen aus den Bereichen Gesundheit, Telekommunikation, Medien und IT infiziert.
„Die Nansh0u-Kampange ist kein typischer Kryptominer-Angriff“, erklärten die Forscher. „Sie nutzt Techniken wie gefälschte Zertifikate und Exploits zur Ausweitung von Nutzerrechten, die häufig bei Advanced Persistent Threats zum Einsatz kommen.“
Die Infrastruktur der Kampagne soll sich nach bisherigen Erkenntnissen aus elf Servern zusammensetzen. Die Opfer sollen die Hacker mithilfe von Port-Scannern finden. Beim ersten Angriffsversuch setzen die Angreifer auf ein Brute-Force-Tool für MS-SQL-Anmeldedaten, das häufig schon zum Erfolg führen soll.
Einen kompromittierten SQL-Server bringen die Angreifer mit einem Visual-Basic-Skript dazu, bis zu 20 verschiedene Schadprogramme herunterzuladen. Jede Woche sollen zudem neue Varianten hinzukommen. Die Malware nutzt eine bereits seit 2014 bekannte Schwachstelle in Windows Vista, 7, 8, 8.1 sowie Server 2003, 2008, 2008 R2, 2012 und 2012 R2 aus, die eine nicht autorisierte Ausweitung von Nutzerrechten ermöglicht.
Mit diesen Administratorrechten wird schließlich ein Kryptominer eingerichtet und ein Kernelmodus-Rootkit eingeschleust. Es verhindert, dass der Angriff und Mining-Software abgeschaltet werden. Geschürft werden den Forschern zufolge TurtleCoins für insgesamt vier verschiedene Mining-Pools.
Das Kernelmodus-Rootkit wiederum basiert auf einem Kernelmodus-Treiber, der ein von Verisign ausgestelltes Zertifikat nutzt, das den Treiber als legitim ausgibt. Das Zertifikat wiederum enthält den Namen einer fiktiven chinesischen Firma Hangzhou Hootian Network Technology.
Auch China als Herkunftsland weist aber nicht nur das Zertifikat hin, sondern auch die Verwendung der in China entwickelten Programmiersprache EPL. Zudem seien einige der von den Hackern benutzten Server in China ansässig.
Der Hoster der für die Angriffe genutzten Server hat diese inzwischen abgeschaltet. Auch Verisign widerrief das missbrauchte Zertifikat. Die Forscher schließen jedoch nicht aus, dass die Hintermänner Server und Zertifikat für künftige Aktivitäten austauschen.
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…