A Nansh0u kampány – Hackerek arzenálja egyre erősebbé válik

A Guardicore Labs csapata egy kínai központú kampányt követett nyomon, amelynek célja a Windows MS-SQL és phpMyAdmin szerverek megfertőzése világszerte. Több mint 50 000, média-, egészségügyi, IT- és telekommunikációs vállalatokhoz tartozó szerver volt érintett. A fertőzött szervereket egy rosszindulatú hasznos teherrel fertőzték meg, amely egy kripto-minert és egy kifinomult kernel-módú rootkitet telepített, amely megakadályozta a rosszindulatú szoftverek kiiktatását. A kampány 20 különböző payload verziót tett közzé és telepített, ami azt mutatja, hogy a fejlett támadási eszközök ma már a kevésbé fejlett támadók kezébe is kerülhetnek. A Guardicore Labs felvette a kapcsolatot a rootkit tanúsítványának kibocsátójával és a támadó szerverek tárhelyszolgáltatójával, aminek eredményeképpen a támadó szerverek működését felfüggesztették, és a tanúsítványt visszavonták.

A Nansh0u-kampányként emlegetett művelet a támadók folyamatos fejlesztésének szervezett, kialakult folyamatát tárta fel. Az áldozatok szerverei azután fertőződtek meg, hogy a hitelesítési kísérletek sikeres, rendszergazdai jogosultságokkal történő bejelentkezésekhez vezettek. A támadók szerverei HFS-t futtattak, amely különböző típusú fájlokat szolgáltatott, többek között portolvasót, brute-force eszközt, szöveges fájlt és távoli kódvégrehajtót. A kampány olyan fejlett technológiai képességek használatát mutatta be, mint a jogosultságok kiterjesztésének kihasználása és a kernel-módú meghajtók. Az eltérések, beleértve a gépelési hibákat és a rosszul elhelyezett bináris fájlokat, arra utaltak, hogy a műveletet nem tesztelték alaposan. A támadási mód esettanulmányként szolgál egy jól megtervezett, progresszív eszközöket tartalmazó támadási sémáról, amely megmutatja, hogy a kiberfegyverek könnyen hozzáférhetővé váltak.

(forrás)