Investigadores de seguridad cibernética de Guardicore Labs, han alertado de una campaña generalizada de cryptojacking que ataca los servidores de Windows MS-SQL y PHPMyAdmin en todo el mundo.
Apodado Nansh0u, la campaña maliciosa está siendo llevada a cabo por un grupo de piratería chino al estilo de APT. Ya ha infectado a casi 50.000 servidores, instalando un sofisticado rootkit en modo kernel en sistemas comprometidos para evitar que el malware pueda eliminarse.
La campaña se remonta al 26 de febrero pero fue detectada por primera vez a principios de abril y se han localizado al menos 20 versiones diferentes de carga útil alojadas en varios proveedores de alojamiento. El malware aprovecha una vulnerabilidad conocida de escalada de privilegios (CVE-2014-4113) para obtener privilegios de sistema en los servidores comprometidos.
El ataque se basa en la técnica de fuerza bruta, buscando y encontrando servidores MS-SQL y PHPMyAdmin de acceso público comprometidos mediante un simple escáner de puertos.
Después de una autenticación de inicio de sesión exitosa con privilegios administrativos, los atacantes ejecutan una secuencia de comandos de MS-SQL en el sistema comprometido para descargar la carga útil malintencionada desde un servidor de archivos remoto y ejecutarlo con privilegios de sistema.
La carga útil instala un malware de minado de criptomoneda y también protege su proceso de finalización mediante el uso de un rootkit en modo de kernel firmado digitalmente por Verisign, según comentan los investigadores: «descubrimos una firma digital emitida por la autoridad de certificación Verisign. El certificado, que está vencido, lleva el nombre de una empresa china falsa: Hanhzhou Hootian Network Technology».
La recomendación contra este tipo de ataques es la de costumbre: actualizar equipos para mitigar las vulnerabilidades conocidas y emplear contraseñas fuertes y robustas, dado que el ataque se basa en una combinación de nombre de usuario y contraseña.
Fuente:https://www.muyseguridad.net