La campagna cryptojacking Nansh0u ha già infettato 50.000 server
#SIOS19
Prenota il tuo biglietto

Ultimo aggiornamento il 4 giugno 2019 alle 8:09

La campagna cryptojacking Nansh0u ha già infettato 50.000 server

Gli esperti dell’azienda Guardicore Labs hanno scoperto una campagna di cryptojacking tracciata come Nansh0u e che ha preso di mira i server Windows MS-SQL e PHPMyAdmin

Gli esperti di sicurezza dell’azienda Guardicore Labs hanno scoperto una campagna di cryptojacking che ha preso di mira server Windows MS-SQL e PHPMyAdmin in tutto il mondo. La campagna, tracciata come Nansh0u sembrerebbe esser stata lanciata da un gruppo APT cinese e a breve vedremo perché.

 

La campagna Nansh0u ha già infettato quasi 50.000 server in tutto il mondo, interessante il coinvolgimento di un sofisticato rootkit in modalità kernel utilizzato dagli attaccanti sui sistemi compromessi per ostacolare la rimozione del codice malevolo.

“Negli ultimi due mesi, il team del Guardicore Labs ha seguito da vicino una campagna originata dalla Cina che mirava a infettare i server Windows MS-SQL e PHPMyAdmin in tutto il mondo”, si legge nel rapporto pubblicato da Guardicore.

“Le macchine violate includono oltre 50.000 server appartenenti a società nel settore sanitario, delle telecomunicazioni, dei media e dell’informatica. Una volta compromessi, i server sono stati infettati da payload dannosi. Questi codici, a loro volta, hanno poi installato un cripto miner e un sofisticato rootkit in modalità kernel per impedire la rimozione del malware “

 

Gli attacchi risalgono al 26 febbraio, quando gli esperti hanno osservato oltre settecento nuove vittime al giorno. I ricercatori hanno scoperto 20 versioni di payload dannosi, nuovi payload venivano creati almeno una volta alla settimana e immediatamente coinvolti nella campagna dopo la loro creazione.

nansh0u campagna

Gli attaccanti dietro la campagna Nansh0u sono soliti utilizzare attacchi di forza bruta contro i server Windows MS-SQL e PHPMyAdmin, precedentemente identificati, che sono esposti online.

Una volta effettuato l’accesso con privilegi amministrativi, gli attaccanti eseguono una sequenza di comandi MS-SQL che consente loro di scaricare il payload dannoso da un server remoto ed eseguirlo con i privilegi di Sistema.

Gli hacker hanno utilizzato due exploit tracciati come apexp.exe e apexp2012.exe che attivano la sfruttano una vulnerabilità di privilege escalation tracciata come CVE-2014-4113. Gli exploits consentono quindi l’esecuzione di qualsiasi eseguibile con i privilegi di Sistema .

“Utilizzando privilegi di Windows, l’exploit consente di iniettare il codice malevolo direttamente nel processo winlogon. Il codice iniettato crea un nuovo processo che eredita i privilegi di Sistema (SYSTEM) di winlogon, fornendo permessi equivalenti. “Continua l’analisi.

I payload utilizzati in questa campagna erano consentono come ultimo stadio dell’attacco l’installazione di un crypto miner, ovvero di un codice malevolo che è possibile usare per generare attraverso processi di mining la cripto valuta TurtleCoin.

 

Gli esperti hanno osservato che molti payload rilasciavano un driver in modalità kernel utilizzando nomi di file casuali e li collocavano nella locazione AppData/Local/Temp. Tutti questi file risultano esser stati compilati nel 2016, tuttavia ma la maggior parte dei sistemi antivirus non è in grado ancora di rilevarli come dannosi.

Uno dei driver analizzati dagli esperti aveva una firma digitale apposta mediante un certificato emesso dalla autorità di certificazione Verisign.

Possiamo dire con sicurezza che questa campagna è stata gestita da attaccanti basati cinesi” conclude il rapporto.

Basiamo questa ipotesi sulle seguenti osservazioni:

  • L’hacker ha scelto di scrivere i propri strumenti con EPL, un linguaggio di programmazione basato sulla lingua cinese.
  • Alcuni dei file server implementati per questa campagna sono HFS in lingua cinese.
  • Molti file di log e binari includevano stringhe in cinese, come 结果 重复 (“duplicati rimossi”) nei log delle macchine compromesse, o 开始 (“start”) nel nome dello script che avvia le scansioni delle porte.”

Suggerisco la lettura dell’analisi che include l’elenco degli indicatori di compromissione (IoC) per l’identificazione della minaccia ed uno script gratuito basato su PowerShell che può essere utilizzato dagli amministratori di Windows per verificare se i loro sistemi sono infetti o meno.

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter