O Guardicore Labs, laboratório de pesquisa da empresa de segurança Guardicore, tem acompanhado uma campanha baseada na China, denominada Nansh0u, que visava infectar servidores Windows MS-SQL e phpMyAdmin ao redor do mundo. De acordo com a empresa, há mais de 50 mil servidores pertencentes a empresas dos setores de saúde, telecomunicações, mídia e TI com a falha. Os servidores vulneráveis foram infectados com payloads maliciosos que criam um cryptominer e instalam um rootkit sofisticado em modo kernel para impedir que o malware fosse eliminado.
Segundo investigação do Guardicore Labs, 20 versões diferentes de payloads foram lançadas e implementadas ao longo da campanha. A empresa entrou em contato com o provedor de hospedagem dos servidores atacantes, bem como com o emissor do certificado digital utilizado pelos binários do rootkit, que foram removidos e revogado, respectivamente. Ainda de acordo com a empresa, a campanha Nansh0u não é um caso típico de ataque de mineração de criptomoeda - nesse caso, eles usaram técnicas normalmente vistas em APTs - ataques dirigidos avançados persistentes, como certificados falsos ou escalação de privilégios. As ferramentas avançadas de ataque normalmente pertencem a atacantes altamente qualificados, mas essa campanha mostra que essas ferramentas podem cair facilmente nas mãos de invasores menores que os de primeira linha.
O Guardicore Labs publicou o cronograma de criação dos payloads e como cada ataque foi executado. ?
Comentários Recomendados
Não há comentários para mostrar.
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.