Nansh0u: Hacker infizieren SQL- und PHPMyAdmin-Server mit Kryptominern

Der Sicherheitsanbieter Guardicore Labs hat eine angeblich aus China stammende Hackerkampagne aufgespürt, die es auf windowsbasierte SQL- und PHPMyAdmin-Server abgesehen hat. Ziel der unbekannten Hintermänner ist das Einschleusen eines Kryptominers. Bisher wurden offenbar mehr als 50.000 Server von Unternehmen aus den Bereichen Gesundheit, Telekommunikation, Medien und IT infiziert.

Die Nansh0u genannte Kampagne bezeichneten die Forscher Ophir Harpaz und Daniel Goldberg in einem Blogeintrag als ausgeklügelte Variante von bekannten und eher primitiven Kryptomining-Angriffen. Die Attacken begannen demnach am 26. Februar. An einigen Tagen seien mehr als 700 neue Opfer registriert worden.

„Die Nansh0u-Kampange ist kein typischer Kryptominer-Angriff“, erklärten die Forscher. „Sie nutzt Techniken wie gefälschte Zertifikate und Exploits zur Ausweitung von Nutzerrechten, die häufig bei Advanced Persistent Threats zum Einsatz kommen.“

Die Infrastruktur der Kampagne soll sich nach bisherigen Erkenntnissen aus elf Servern zusammensetzen. Die Opfer sollen die Hacker mithilfe von Port-Scannern finden. Beim ersten Angriffsversuch setzen die Angreifer auf ein Brute-Force-Tool für MS-SQL-Anmeldedaten, das häufig schon zum Erfolg führen soll.

Einen kompromittierten SQL-Server bringen die Angreifer mit einem Visual-Basic-Skript dazu, bis zu 20 verschiedene Schadprogramme herunterzuladen. Jede Woche sollen zudem neue Varianten hinzukommen. Die Malware nutzt eine bereits seit 2014 bekannte Schwachstelle in Windows Vista, 7, 8, 8.1 sowie Server 2003, 2008, 2008 R2, 2012 und 2012 R2 aus, die eine nicht autorisierte Ausweitung von Nutzerrechten ermöglicht.

Mit diesen Administratorrechten wird schließlich ein Kryptominer eingerichtet und ein Kernelmodus-Rootkit eingeschleust. Es verhindert, dass der Angriff und Mining-Software abgeschaltet werden. Geschürft werden den Forschern zufolge TurtleCoins für insgesamt vier verschiedene Mining-Pools.

Das Kernelmodus-Rootkit wiederum basiert auf einem Kernelmodus-Treiber, der ein von Verisign ausgestelltes Zertifikat nutzt, das den Treiber als legitim ausgibt. Das Zertifikat wiederum enthält den Namen einer fiktiven chinesischen Firma Hangzhou Hootian Network Technology.

Auch China als Herkunftsland weist aber nicht nur das Zertifikat hin, sondern auch die Verwendung der in China entwickelten Programmiersprache EPL. Zudem seien einige der von den Hackern benutzten Server in China ansässig.

Der Hoster der für die Angriffe genutzten Server hat diese inzwischen abgeschaltet. Auch Verisign widerrief das missbrauchte Zertifikat. Die Forscher schließen jedoch nicht aus, dass die Hintermänner Server und Zertifikat für künftige Aktivitäten austauschen.