Эксперты Guardicore Labs проанализировали непривычно сложные атаки на серверы MS-SQL и PHPMyAdmin, целью которых являлась установка майнера криптовалюты. За три месяца злоумышленникам удалось взломать более 50 тыс. машин, принадлежащих представителям сферы здравоохранения, телекоммуникационным и IT-компаниям, а также СМИ.

Первые три атаки, исходившие с южноафриканских IP-адресов, были замечены в апреле. Расследование показало, что новая криптоджекинг-кампания, получившая кодовое имя Nansh0u, была, скорее всего, запущена в конце февраля. В комментарии для Threatpost эксперт Guardicore Дэниел Голдберг (Daniel Goldberg) отметил, что заражения были зафиксированы в 90 странах, с наибольшей концентрацией в Китае, США и Индии.

По словам исследователей, выявленная кампания примечательна тем, что полагается на инструменты и приемы, зачастую используемые APT-группами. Так, злоумышленники применяли эксплойт повышения привилегий и руткит уровня ядра с действительной цифровой подписью. Кроме того, они как минимум раз в неделю создавали новый вариант полезной нагрузки и сразу пускали его в ход — совокупно эксперты насчитали 20 разных образцов (дропперов руткита и майнеров).

Пригодные для атаки серверы MS-SQL определяются сканированием соответствующих портов. Результаты передаются модулю, предназначенному для взлома учетных записей; он оперирует списком из десятков тысяч общеупотребительных логинов и паролей администратора. В случае успеха ключи сохраняются вместе с IP-адресом сервера и номером порта, а в скомпрометированной системе выполняется ряд SQL-команд, запускающих цепочку заражения.

Все необходимые для атак инструменты — сканер, модуль для брутфорса — злоумышленники хранили вместе с журналами на серверах HFS (хостинг-провайдер их уже отключил с подачи Guardicore). Один из найденных там текстовых файлов включал строку Nansh0u, которая и подсказала экспертам название для новой криптоджекинг- кампании. На этом же HFS-сервере эксперты обнаружили файл Usp10.exe — программу, которая, используя сохраненные учетные данные, авторизуется в скомпрометированной системе, создает и запускает VBS-загрузчик (записывается в папку C:\ProgramData\), а затем исполняет полученную им полезную нагрузку.

Последняя представляет собой дроппер, доставляющий на Windows-машину программу добычи криптовалюты TurtleCoin и руткит для защиты процесса майнинга от принудительного завершения (этот драйвер режима ядра загружают далеко не все выявленные образцы). В рамках данной кампании использовались два майнера: JCE с закрытым исходным кодом и популярный XMRig. Руткит оказался подписанным сертификатом, выданным УЦ Verisign на имя некой китайской компании — как выяснилось, фиктивной. Сертификат уже отозван стараниями Guardicore.

Полезная нагрузка исполняется с правами SYSTEM. Чтобы это обеспечить, злоумышленники используют хорошо известную уязвимость повышения привилегий CVE-2014-4113.

Проанализировав найденные в ходе расследования артефакты, эксперты пришли к заключению, что инициаторы криптоджекинг-кампании хорошо владеют китайским языком. Об этом говорят названия многих папок и файлов на HFS-сервере, а также язык программирования, на котором написаны основные инструменты, — китайскоязычная версия EPL.

Обнаруженная кампания была явно нацелена на скрытный майнинг криптовалюты, однако ее авторы, по мнению Голдберга, также запасали взломанные серверы впрок. «Второстепенной целью являлось получение доступа, — заявил эксперт. — Все события исправно заносились в журналы, чтобы впоследствии взломанные серверы можно было повторно использовать или за плату предоставить другим злоумышленникам».

В своем отчете исследователи подчеркнули, что основной причиной успеха киберкампании является слабость паролей к Windows MS-SQL. Администраторам рекомендуется подумать об усилении защиты аккаунтов, а также целесообразности использования средств сегментации сети.

Категории: Аналитика, Вредоносные программы, Уязвимости, Хакеры