Hacker menginfeksi 50.000 Server MS-SQL dan PHPMyAdmin dengan Rootkit Malware - Otak Kita

Hacker menginfeksi 50.000 Server MS-SQL dan PHPMyAdmin dengan Rootkit Malware


Otak Kita - Peneliti Keamanan Cyber ​​di Guardicore Labs hari ini menerbitkan laporan terperinci tentang kampanye cryptojacking luas yang menyerang server Windows MS-SQL dan PHPMyAdmin di seluruh dunia.

Dijuluki Nansh0u , kampanye jahat ini dilaporkan dilakukan oleh kelompok peretasan Cina gaya APT yang telah menginfeksi hampir 50.000 server dan memasang rootkit mode-kernel yang canggih pada sistem yang dikompromikan untuk mencegah malware dihentikan.

Kampanye, yang tanggal kembali ke 26 Februari tetapi pertama kali terdeteksi pada awal April, telah ditemukan memberikan 20 versi muatan yang berbeda di-host di berbagai penyedia hosting.

Serangan bergantung pada teknik brute-forcing setelah menemukan server Windows MS-SQL dan PHPMyAdmin yang dapat diakses publik menggunakan pemindai port sederhana.

Setelah otentikasi login berhasil dengan hak administratif, penyerang mengeksekusi urutan perintah MS-SQL pada sistem yang dikompromikan untuk mengunduh muatan berbahaya dari server file jarak jauh dan menjalankannya dengan hak istimewa SISTEM.

Di latar belakang, payload memanfaatkan kerentanan eskalasi hak istimewa yang dikenal (CVE-2014-4113) untuk mendapatkan hak istimewa SISTEM pada sistem yang dikompromikan.

    "Menggunakan hak istimewa Windows ini, exploit yang menyerang menyuntikkan kode ke dalam proses Winlogon. Kode yang disuntikkan menciptakan proses baru yang mewarisi hak istimewa Winlogon SYSTEM, memberikan izin yang setara seperti versi sebelumnya." 


Payload kemudian menginstal malware penambangan cryptocurrency di server yang dikompromikan untuk menambang TurtleCoin cryptocurrency.

Selain itu, malware ini juga melindungi prosesnya dari penghentian menggunakan rootkit mode-kernel yang ditandatangani secara digital untuk kegigihan.

    "Kami menemukan bahwa pengemudi memiliki tanda tangan digital yang dikeluarkan oleh Otoritas Sertifikat Verisign top. Sertifikat - yang kedaluwarsa - menyandang nama perusahaan Cina palsu - Hangzhou Hootian Network Technology." 


Para peneliti juga telah merilis daftar lengkap IoC (indikator kompromi) dan skrip berbasis PowerShell gratis yang dapat digunakan oleh administrator Windows untuk memeriksa apakah sistem mereka terinfeksi atau tidak.

Karena serangan bergantung pada kombinasi nama pengguna dan kata sandi yang lemah untuk server MS-SQL dan PHPMyAdmin, admin disarankan untuk selalu menyimpan kata sandi yang kuat dan kompleks untuk akun mereka.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel