محققین امنیت سایبری در موسسه Guardicore چندروز پیش گزارشی را ارئه دادند در مورد یک کارزار گسترده cryptojacking که سرورهای MS-SQL   و PHPMyAdmin   را در سطح جهانی هدف قرارداده.عملیات cryptojacking استفاده مخفیانه وپنهانی هکرها از کامپیوترهای کاربران ویا سرورها برای عملیات mining   رمز پول (cryptocurrency ) است.

عملیاتی که به اسم Nansh0u شناخته می شود مشخص شده بارها توسط یک گروه هکرهای APT   استایل چینی انجام شده که تا به امروز حدود ۵۰.۰۰۰ سرور را در دنیا آلوده کردند ودر حال نصب یک روت کیت kernel-mode بسیار پیچیده در سیستم های آلوده شده هستند تا از پاک شدن این بدافزار جلوگیری کند.

این عملیات اوایل ماه آوریل برای اولین بارشناسایی شد ومشخص شده که ۲۰ ورژن payload  مختلف را در سرویس های مختلف میزبانی قرار داده.این حمله ابتدا به شناسایی سرورهای قابل دسترس برای عموم MS-SQL  و PHPMyAdmin  با استفاده از یک اسکنر پورت می پردازد و بعد از تکنیک brute-force استفاده می کند.

بعد از ورود واهراز شدن هویت به عنوان admin  ،مهاجمین یک سری دستورات MS-SQL  را روی سیستم آلوده شده اجرا می کنند تا payload  مورد نظرشان از یک سرور دیگر دانلود شود وآنرا با داشتن تمام مجوزهای ادمین روی سیستم اجرا می کنند.

در پشت زمینه payload از یک بدافزار معروف برای بالا بردن حق دسترسی ها (CVE-2014-4113) برای بدست آوردن دسترسی های سیستم آلوده کمک میگیرد.

با استفاده از دسترسی های ویندوز exploit   مهاجم در پردازش winlogon   کد تزریق میکند.کد تزریق شده پردازش جدیدی را شروع میکند که در واقع دسترسی های سیستم winlogon   را  در بر دارد ومانند ورژن اولیه تمامی دسترسی ها را دارد.

بعد ازاین  payload یک بدافزار را برای عملیات mining   رمز پول TurtleCoin روی سیستم آلوده نصب میکند .

در کنار همه اینها این بد افزار خود را در برابر از بین رفتن با استفاده از یک روت کیت kernel-mode که امضای دیجیتالی شده محافظت میکند.مجوز این امضای دیجیتالی منقضی شده ومربوط به یک شرکت جعلی چینی به نام Hangzhou Hootian Network Technology است.

متخصصان هم چنین یک لیست کامل از IOC  ها  (نشانه های آلوده شدن) ویک اسکریپت power-shell ارائه کردند که ادمین های ویندوز می توانند با استفاده از آن از آلوده شدن سیستم مطلع شوند.

ار آنجاییکه این حمله مبتنی بر ضعیف بودن ترکیب نام کاربری وپسورد برای سرورهای MS-SQL   و PHPMyAdmin   است به ادمین ها توصیه می شود که برای حساب های خود پسورد های پیچیده وقوی انتخاب کنند.