Rootkit infecta a mas de 50.000 servidores MS-SQL y PHPMyAdmin

En una campaña que investigados apodaron como Nansh0u, un grupo de cibercriminales utilizando un estilo de ataque de tipo APT, ha afectado aproximadamente 50.000 servidores, instalando un rootkit bastante sofisticado, el cual en modo kernel evita que este malware sea finalizado.
La campaña, que se remonta al 26 de febrero pero fue detectada por primera vez a principios de abril, se ha encontrado que ofrece 20 versiones diferentes de carga útil alojadas en varios proveedores de alojamiento.
El ataque se basa en la técnica de fuerza bruta después de encontrar servidores MS-SQL y PHPMyAdmin de acceso público mediante un simple escáner de puertos.
Luego de una autenticación de inicio de sesión exitosa con privilegios administrativos, los atacantes ejecutan una secuencia de comandos MS-SQL en el sistema comprometido para descargar la carga útil malintencionada desde un servidor de archivos remoto y ejecutarlo con privilegios de SISTEMA.
En el fondo, la carga útil aprovecha una vulnerabilidad conocida de escalada de privilegios (CVE-2014-4113) para obtener privilegios de SISTEMA en los sistemas comprometidos.
La carga útil luego instala un malware de minería de criptomoneda en servidores comprometidos para extraer la criptomoneda de TurtleCoin .
Además de esto, el malware también protege su proceso de la terminación mediante el uso de un rootkit de modo de kernel firmado digitalmente para la persistencia.

Los investigadores también han publicado una lista completa de IoC (indicadores de compromiso) y un script gratuito basado en PowerShell que los administradores de Windows pueden usar para verificar si sus sistemas están infectados o no.
Como el ataque se basa en una combinación de nombre de usuario y contraseña débiles para los servidores MS-SQL y PHPMyAdmin, se recomienda a los administradores que siempre mantengan una contraseña sólida y compleja para sus cuentas.
Prevención y remediación.
Fuentes: