Mutmaßlich aus China operierende Hacker haben schlecht konfigurierte Datenbank-Server über eine alte Windows-Schwachstelle gehackt und die Systeme mit Krypto-Minern infiziert.
Anzeige
Sicherheitsforscher von Guardicore Labs haben die Kampagne letzten Mittwoch öffentlich gemacht, wie threatpost.com berichtet. Sie sagten, dass die Nansh0u-Kampagne (benannt nach einer Textdateifolge in den Servern des Angreifers, die Nansh0u genannt wird) "kein weiterer gewöhnlicher Miner-Angriff" sei. Die Angreifer verwenden eine Open-Source-Kryptowährung namens TurtleCoin, die über Malware in die schlecht gesicherten Windows-Datenbankserver injiziert wird.
50000 Datenbank-Server gehackt
Bis zu 50.000 Server wurden in den letzten vier Monaten im Rahmen dieser hochkarätigen Kryptojacking-Kampagne infiziert. Die auf der Open-Source-Kryptowährung TurtleCoin basierende Krypto-Miner Malware wird über eine ausgeklügelte Kampagne verbreitet. Diese benutzt Techniken, die oft von fortgeschrittenen persistenten Bedrohungsgruppen (APT) verwendet werden, wie z.B. die Verwendung von Zertifikaten und 20 verschiedenen Payload-Versionen.
(Quelle: Pexels Markus Spiske CC0 Lizenz)
Zu den betroffenen Maschinen gehören über 50.000 Server von Unternehmen aus den Bereichen Gesundheitswesen, Telekommunikation, Medien und IT", schreiben die Sicherheitsforscher in einer Analyse. "Einmal kompromittiert, wurden die Zielserver mit bösartigen Nutzlasten infiziert. Diese wiederum installierten wiederum einen Krypto-Miner sowie ein ausgeklügeltes Kernel-Modus-Rootkit, um zu verhindern, dass die Malware beendet wird."
Anzeige
Die Kampagne
Die Kampagne läuft seit Februar, so die Forscher. Im April bemerkten die Forscher drei ähnliche Angriffe – alle hatten Quell-IP-Adressen aus Südafrika, teilten den gleichen Angriffsprozess und verwendeten die gleiche Schwachstelle.
"Auf der Suche nach mehr Angriffen mit einem ähnlichen Muster fanden wir Angriffe, die bis zum 26. Februar zurückreichen, mit über siebenhundert neuen Opfern pro Tag", schreiben die Forscher. "Während unserer Untersuchung fanden wir 20 Versionen von bösartigen Payloads, wobei neue Payloads mindestens einmal pro Woche erstellt und unmittelbar nach ihrer Erstellung verwendet wurden."
Die Angreifer durchsuchen IP-Adressen nach offenen MS-SQL-Ports von MS-SQL-Servern. Dann versuchen sie mit Hilfe von Brute-Force-Methoden (unter Verwendung allgemein verwendeter Anmeldeinformationen) in diese exponierten Maschinen einzudringen. Das ist offenbar sehr erfolgreich.
Die Forscher beobachteten im Zeitraum vom 13. April bis 13. Mai die Verdoppelung der Zahl der Infektionen auf 47.985. Die Opfer befanden sich hauptsächlich in China, den USA und Indien – aber auch in bis zu 90 Ländern erreichten die Angreifer die Opfer, so die Forscher von Guardicore gegenüber Threatpost.
Die Forscher vermuten in China beheimate Angreifer hinter der Kampagne, da die Hacker ihre Tools mit der chinesischen Programmiersprache EPL schreiben, und viele Protokolldateien und Binärdateien auf den Servern enthalten chinesische Zeichenketten. Details sind diesem threadpost-Artikel zu entnehmen. Heise hat hier einen deutschsprachigen Artikel zum Thema veröffentlicht.
Anzeige
——
Mutmaßlich auch China operierende Hacker haben schlecht konfigurierte Datenbank-Server über eine alte Windows-Schwachstelle gehackt …
——
ähh, watt?
wohl aus?! ;)
Alle diejenigen die CoinBlockerLists verwenden sind gegen Mining dieser Kampagne geschützt.
99% der verwendeten Pools waren schon vor Bekanntwerden der Kampagne in den Listen enthalten.
Ich empfehle daher jedem Admin die CoinBlockerLists zu verwenden, da damit Schäden in Millionenhöhe vermieden werden können.
z.b. höhere Stromkosten aufgrund von Dauerbelastung durch Mining.
Alle Listen können über folgenden Link gefunden werden: https://zerodot1.gitlab.io/CoinBlockerListsWeb/
Die Listen werden regelmäßig gepflegt und Fehler immer schnell behoben.