Дослідники з кібербезпеки в Guardicore Labs опублікували детальну доповідь про широкомасштабну кібератаку типу прихованого перехоплення контролю, що атакувала сервери MS SQL і PHPMyAdmin у всьому світі. Про це повідомляє The Hacker News.

Відома під назвою Nansh0u, як повідомляється, атака виконується китайською групою у стилі APT в автономному режимі, і вже заразила майже 50 000 серверів і встановлює складний руткіт режиму ядра на скомпрометованих системах, щоб запобігти зупинці зловмисного програмного забезпечення.

Атака почалася з 26 лютого, але була вперше виявлена на початку квітня, знайшла 20 різних версій корисного навантаження, розміщених на різних хостинг-провайдерах. Атака покладається на техніку брутфорса (простий підбір паролів) після знаходження загальнодоступних серверів Windows MS-SQL і PHPMyAdmin за допомогою простого сканера портів.
Після успішної аутентифікації входу з правами адміністратора, зловмисники виконують послідовність команд MS-SQL на скомпрометованій системі, щоб завантажити зловмисне корисне навантаження з віддаленого файлового сервера і запустити його з привілеями SYSTEM.

У фоновому режимі корисне навантаження використовує відому уразливість ескалації привілеїв (CVE-2014-4113) для отримання привілеїв SYSTEM на скомпрометованих системах.

“Використовуючи привілеї Windows, атакуючий експлуатат вводить код у процес Winlogon. Введений код створює новий процес, який успадковує привілеї Winlogon SYSTEM, надаючи еквівалентні дозволи як попередню версію.”

Після цього корисне навантаження встановлює шкідливе програмне забезпечення для криптовалют на компрометованих серверах, щоб майнити криптовалюти TurtleCoin.
Крім того, шкідливе програмне забезпечення також захищає свій процес від припинення використання цифрового підпису руткіту режиму ядра для збереження.

“Ми виявили, що драйвер мав цифровий підпис, виданий топ-центром сертифікації Verisign. Сертифікат – який закінчився – носить назву підробленої китайської компанії – Hangzhou Hootian Network Technology”.

Дослідники також опублікували повний список IoC (індикаторів компрометації) і безкоштовний сценарій на основі PowerShell, який адміністратори Windows можуть використовувати для перевірки інфікованості їхніх систем.

Оскільки атака покладається на слабкі комбінації імен і паролів для серверів MS-SQL і PHPMyAdmin, адміністраторам рекомендується завжди зберігати міцний, складний пароль для своїх облікових записів.

До речі, кіберзлочинці активно шукають системи на базі ОС Windows, схильні до уразливості BlueKeep (CVE-2019-0708), патч для якої компанія Microsoft випустила в середині травня (Windows XP, Windows 7, Windows Server 2003, Windows Server 2008 R2 і Windows Server 2008).

Співробітники компанії Snap, що володіє великою соціальною мережею Snapchat, використовували свій доступ до внутрішніх інструментів для стеження за користувачами.

Нагадаємо,  сподівання Huawei на зняття санкцій США і збереження партнерських відносин з американськими корпораціями, і Google в тому числі, не завадили їй продовжити підготовку релізу власної операційної системи на заміну Android.

Також Google заявила, що додавання телефонного номера для відновлення може заблокувати всі автоматизовані спроби бота для доступу до облікових записів за допомогою облікових даних.

Якщо Вам потрібно запустити програму, але Ви не впевнені, що це безпечно, травневе оновлення для Windows 10 включає функцію пісочниці Windows, розроблену для такого роду завдань У цьому гайді з Windows 10 ми перейдемо до кроків для ввімкнення та початку роботи з функцією Windows Sandbox, доступною з оновленням у травні 2019 року.

Автор: Олена Кожухар