info[at]nsec.ir
(+98)-31-33915336

حمله با هدف استخراج

خلاصه: یک گروه هکری چینی بدافزار‌هایی را روی 50.000 سرور MS-SQL و PhPMyAdmin نصب نموده‌اند. این حمله با هدف استخراج رمزارز انجام شده است.

 

محققان امنیتی یک کمپین حملات علیه پایگاه داده MS-SQL و PhPMyAdmin را گزارش نموده‌اند که هدف آن استخراج رمزارز بوده است.

این کمیپن که Nansh0u نام دارد احتمالا متعلق به یک گروه هکر چینی است که تاکنون نزدیک به ۵۰.۰۰۰ سرور را آلوده نموده و روی آن‌ها روت‌کیت‌های پیچیده سیستمی نصب نموده‌اند تا از متوقف شدن بدافزار جلوگیری کنند.

این کمپین که از فوریه شروع به کار نموده است در ماه گذشته کشف شد و بیش از ۲۰ پیلود متفاوت را روی برخی تامین‌کنندگان هاست نصب نموده است.

در این حمله هکرها پس از یافتن سرور‌ها با یک اسکن ساده پورت‌ها، با استفاده از تکنیک‌های جستجوی کامل دسترسی به سرور‌های MS-SQL و PhPMyAdmin پیدا می‌کنند.

زمانی که هکر با دسترسی‌های مدیر احراز هویت شد، با استفاده از یک سری دستورات MS-SQL روی سیستم قربانی، یک پیلود آلوده را دانلود نموده و آن را با دسترسی سیستم اجرا می‌نماید. پیلود برای رسیدن به سطح دسترسی سیستم از آسیب‌پذیری CVE-2014-4113 استفاده می‌نماید. پس از آن پیلود اقدام به نصب بدافزار استخراج رمزارز TurtleCoin روی سرور قربانی می‌نماید.

بدافزار با استفاده از یک روت‌کیت هسته امضای دیجیتال شده خود را بر برابر متوقف شدن محافظت می‌نماید.

با توجه به اینکه این حمله با جستجوی کامل روی نام کاربری و کلمه عبور بوده است، استفاده از کلمات عبور قدرت‌مند و نام‌های کاربری غیر‌پیش‌فرض می‌تواند جلوی این حملات را بگیرد.