Hacker infizieren 50.000 MSSQL und PHPMyAdmin-Server mit Rootkit-Malware

Die Cyber Security-Forscher von Guardicore Labs haben heute einen detaillierten Bericht über eine weit verbreitete Krypto-Kampagne veröffentlicht, die Windows MS-SQL- und PHPMyAdmin-Server weltweit angreift. Berichten zufolge wird die bösartige Kampagne von einer chinesischen Hackergruppe im APT-Stil durchgeführt, die bereits fast 50.000 Server infiziert hat und ein ausgefeiltes Kernel-Modus-Rootkit auf kompromittierten Systemen installiert, um zu verhindern, dass die Malware beendet wird.

Die Kampagne, die auf den 26. Februar zurückgeht, aber erstmals Anfang April entdeckt wurde, wurde mit 20 verschiedenen Nutzlastversionen bei verschiedenen Hosting-Providern durchgeführt.

Der Angriff basiert auf der Brute-Force-Technik, nachdem öffentlich zugängliche Windows MS-SQL- und PHPMyAdmin-Server mit einem einfachen Port-Scanner gefunden wurden.

Nach erfolgreicher Login-Authentifizierung mit Administratorrechten führen Angreifer eine Reihe von MS-SQL-Befehlen auf dem kompromittierten System aus, um bösartige Nutzlast von einem entfernten Dateiserver herunterzuladen und mit SYSTEM-Rechten auszuführen.

Im Hintergrund nutzt die Nutzlast eine bekannte Privilegieneskalations-Schwachstelle (CVE-2014-4113), um Systemprivilegien auf den kompromittierten Systemen zu erhalten.

"Mit diesem Windows-Recht injiziert der angreifende Exploit Code in den Winlogon-Prozess. Der injizierte Code erstellt einen neuen Prozess, der die Privilegien von Winlogon SYSTEM übernimmt und gleichwertige Berechtigungen wie die Vorgängerversion bereitstellt."

Die Nutzlast installiert dann eine Kryptowährungsmining-Malware auf kompromittierten Servern, um sie abzubauen. TurtleCoin Kryptowährung.

Darüber hinaus schützt die Malware ihren Prozess auch vor einem Abbruch durch ein digital signiertes Kernel-Mode Rootkit zur Persistenz.

"Wir haben festgestellt, dass der Fahrer eine digitale Signatur hat, die von der obersten Zertifizierungsstelle Verisign ausgestellt wurde. Das Zertifikat - das abgelaufen ist - trägt den Namen einer gefälschten chinesischen Firma - Hangzhou Hootian Network Technology."

Forscher haben auch eine vollständige Liste der IoCs (Indikatoren für Kompromisse) und ein kostenloses PowerShell-basiertes Skript veröffentlicht, mit dem Windows-Administratoren überprüfen können, ob ihre Systeme infiziert sind oder nicht.

Da der Angriff auf eine schwache Kombination aus Benutzername und Passwort für MS-SQL- und PHPMyAdmin-Server basiert, wird den Administratoren empfohlen, immer ein starkes, komplexes Passwort für ihre Konten zu wählen.