Jump to content
  • Sign in to follow this  

    Ataque avançado à servidores SQL e phpMyAdmin


    Bruna Chieco

    O Guardicore Labs, laboratório de pesquisa da empresa de segurança Guardicore, tem acompanhado uma campanha baseada na China, denominada Nansh0u, que visava infectar servidores Windows MS-SQL e phpMyAdmin ao redor do mundo. De acordo com a empresa, há mais de 50 mil servidores pertencentes a empresas dos setores de saúde, telecomunicações, mídia e TI com a falha. Os servidores vulneráveis foram infectados com payloads maliciosos que criam um cryptominer e instalam um rootkit sofisticado em modo kernel para impedir que o malware fosse eliminado.

    Segundo investigação do Guardicore Labs, 20 versões diferentes de payloads foram lançadas e implementadas ao longo da campanha. A empresa entrou em contato com o provedor de hospedagem dos servidores atacantes, bem como com o emissor do certificado digital utilizado pelos binários do rootkit, que foram removidos e revogado, respectivamente. Ainda de acordo com a empresa, a campanha Nansh0u não é um caso típico de ataque de mineração de criptomoeda - nesse caso, eles usaram técnicas normalmente vistas em APTs - ataques dirigidos avançados persistentes, como certificados falsos ou escalação de privilégios. As ferramentas avançadas de ataque normalmente pertencem a atacantes altamente qualificados, mas essa campanha mostra que essas ferramentas podem cair facilmente nas mãos de invasores menores que os de primeira linha.

    O Guardicore Labs publicou o cronograma de criação dos payloads e como cada ataque foi executado. 👍

    Sign in to follow this  


    User Feedback

    Recommended Comments

    There are no comments to display.



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...