![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Mutma\u00dflich aus China operierende Hacker haben schlecht konfigurierte Datenbank-Server \u00fcber eine alte Windows-Schwachstelle gehackt und die Systeme mit Krypto-Minern infiziert.<\/p>\nMutma\u00dflich aus China operierende Hacker haben schlecht konfigurierte Datenbank-Server \u00fcber eine alte Windows-Schwachstelle gehackt und die Systeme mit Krypto-Minern infiziert.<\/p>\n
<\/p>\n
Bis zu 50.000 Server wurden in den letzten vier Monaten im Rahmen dieser hochkar\u00e4tigen Kryptojacking-Kampagne infiziert. Die auf der Open-Source-Kryptow\u00e4hrung TurtleCoin basierende Krypto-Miner Malware wird \u00fcber eine ausgekl\u00fcgelte Kampagne verbreitet. Diese benutzt Techniken, die oft von fortgeschrittenen persistenten Bedrohungsgruppen (APT) verwendet werden, wie z.B. die Verwendung von Zertifikaten und 20 verschiedenen Payload-Versionen.<\/p>\n Zu den betroffenen Maschinen geh\u00f6ren \u00fcber 50.000 Server von Unternehmen aus den Bereichen Gesundheitswesen, Telekommunikation, Medien und IT\", schreiben die Sicherheitsforscher in einer Analyse<\/a>. \"Einmal kompromittiert, wurden die Zielserver mit b\u00f6sartigen Nutzlasten infiziert. Diese wiederum installierten wiederum einen Krypto-Miner sowie ein ausgekl\u00fcgeltes Kernel-Modus-Rootkit, um zu verhindern, dass die Malware beendet wird.\"<\/p>\n Die Kampagne l\u00e4uft seit Februar, so die Forscher. Im April bemerkten die Forscher drei \u00e4hnliche Angriffe – alle hatten Quell-IP-Adressen aus S\u00fcdafrika, teilten den gleichen Angriffsprozess und verwendeten die gleiche Schwachstelle.<\/p>\n \"Auf der Suche nach mehr Angriffen mit einem \u00e4hnlichen Muster fanden wir Angriffe, die bis zum 26. Februar zur\u00fcckreichen, mit \u00fcber siebenhundert neuen Opfern pro Tag\", schreiben die Forscher. \"W\u00e4hrend unserer Untersuchung fanden wir 20 Versionen von b\u00f6sartigen Payloads, wobei neue Payloads mindestens einmal pro Woche erstellt und unmittelbar nach ihrer Erstellung verwendet wurden.\"<\/p>\n Die Angreifer durchsuchen IP-Adressen nach offenen MS-SQL-Ports von MS-SQL-Servern. Dann versuchen sie mit Hilfe von Brute-Force-Methoden (unter Verwendung allgemein verwendeter Anmeldeinformationen) in diese exponierten Maschinen einzudringen. Das ist offenbar sehr erfolgreich.<\/p>\n Die Forscher\u00a0 beobachteten im Zeitraum vom 13. April bis 13. Mai die Verdoppelung der Zahl der Infektionen auf 47.985. Die Opfer befanden sich haupts\u00e4chlich in China, den USA und Indien – aber auch in bis zu 90 L\u00e4ndern erreichten die Angreifer die Opfer, so die Forscher von Guardicore gegen\u00fcber Threatpost.<\/p>\n Die Forscher vermuten in China beheimate Angreifer hinter der Kampagne, da die Hacker ihre Tools mit der chinesischen Programmiersprache EPL schreiben, und viele Protokolldateien und Bin\u00e4rdateien auf den Servern enthalten chinesische Zeichenketten. Details sind diesem threadpost-Artikel<\/a> zu entnehmen. Heise hat hier einen deutschsprachigen Artikel<\/a> zum Thema ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":" Mutma\u00dflich aus China operierende Hacker haben schlecht konfigurierte Datenbank-Server \u00fcber eine alte Windows-Schwachstelle gehackt und die Systeme mit Krypto-Minern infiziert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[2564,4328,3288],"class_list":["post-218928","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-hack","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218928","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=218928"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218928\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=218928"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=218928"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=218928"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Sicherheitsforscher von Guardicore Labs haben die Kampagne letzten Mittwoch \u00f6ffentlich gemacht, wie threatpost.com berichtet<\/a>. Sie sagten, dass die Nansh0u-Kampagne (benannt nach einer Textdateifolge in den Servern des Angreifers, die Nansh0u genannt wird) \"kein weiterer gew\u00f6hnlicher Miner-Angriff\" sei. Die Angreifer verwenden eine Open-Source-Kryptow\u00e4hrung namens TurtleCoin, die \u00fcber Malware in die schlecht gesicherten Windows-Datenbankserver injiziert wird.<\/p>\n
50000 Datenbank-Server gehackt<\/h2>\n
![\"KRITIS-Netzwerk\"](\"https:\/\/i.imgur.com\/yNk8TvY.jpg\" "\\"KRITIS-Netzwerk\\"")
\n(Quelle: Pexels Markus Spiske<\/a> CC0 Lizenz)<\/p>\nDie Kampagne<\/h2>\n