Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

NUOVE MINACCE

Nansh0u, il cryptojacking che ha già infettato 50.000 server MS-SQL e PHPMyAdmin: tutti i dettagli

È stata soprannominata Nansh0u la campagna malevola di cryptojacking in rapida espansione che ha già infettato 50.000 server con un malware utilizzato da criminal hacker cinesi per estrarre valuta crittografica open source TurtleCoin. Ecco tutti i dettagli e i consigli per difendersi

30 Mag 2019

Paolo Tarsitano


Una campagna malevola di cryptojacking su scala mondiale soprannominata Nansh0u (a causa di una stringa di testo individuata nei server degli aggressori) ha già compromesso 50.000 server MS-SQL e PHPMyAdmin negli ultimi quattro mesi.

Secondo i ricercatori dei Guardicore Labs che per primi hanno isolato i campioni del malware di cryptomining “non si tratta di un classico attacco di cryptojacking”.

Nansh0u, non il solito cryptojacking

Nansh0u, infatti, mira a compromettere i server per sfruttarne la grande potenza di calcolo al fine di minare la criptovaluta open source TurtleCoin e il malware viene diffuso attraverso una sofisticata campagna che si basa su tecniche spesso utilizzate da altri gruppi criminali APT (Advanced Persistent Threat), come l’utilizzo di certificati digitali, utili per “legittimare” il codice malevolo e mascherare eventuali attività sospette, e 20 diverse versioni di payload.

I 50.000 server compromessi finora appartengono tutti ad aziende del settore sanitario, delle telecomunicazioni, dei media e dell’IT, il che lascerebbe pensare ad azioni mirate di cyber spionaggio e cyber sabotaggio.

Un’ipotesi avvalorata anche dal fatto che i server sono stati infettati con payload maligni che, a loro volta, oltre al malware di cryptomining hanno installato anche un sofisticato rootkit in modalità kernel per evitare che venga interrotta l’esecuzione del malware stesso.

Le prime tracce della campagna malevola risalgono allo scorso 26 febbraio e all’epoca le vittime colpite dal malware erano circa settecento al giorno. È impressionante osservare come tra il 13 aprile e il 13 maggio scorsi i server colpiti sono stati ben 47.985.

L’impressionante diffusione del cryptojacking Nansh0u.

La scelta di minare la criptovaluta TurtleCoin, inoltre, non è casuale. Si tratta, infatti, di una moneta virtuale “attenta” alla privacy e che quindi rende estremamente difficile ottenere informazioni sul proprietario e il valore accurato e affidabile dell’importo nel wallet.

I dettagli tecnici di Nansh0u

Per diffondere il loro malware, i criminal hacker effettuano prima una scansione della rete mediante il modulo Port scanner per rilevare gli indirizzi IP dei server MS-SQL in esecuzione e per determinare lo stato delle porte di comunicazione aperte.

Quando ne individuano una, sferrano un attacco di tipo brute force per violare le credenziali di accesso utilizzando un dizionario contenente migliaia di username e password di utilizzo comune.

Il server viene quindi violato mediante un classico Remote Code Executor.

Inoltre, se l’autenticazione al server ha successo, l’indirizzo IP, il nome utente e la password vengono salvati in un file di testo per utilizzi futuri o, molto probabilmente, per venderli nel mercato nero del Dark Web.

A questo punto, i criminal hacker scaricano i payload malevoli e i miner di criptovalute (JCE a sorgente chiusa e il minatore XMRig a sorgente aperto) mediante comandi MS-SQL che riescono ad eseguire sfruttando un noto exploit di privilege escalation identificato come CVE-2014-4113 che consente di eseguire il payload dannoso con i privilegi dell’utente amministratore SYSTEM.

Rappresentazione schematica dell’attacco di tipo cryptojacking Nansh0u.

Dall’analisi dei campioni di codice malevolo è inoltre venuto fuori che nella campagna di cryptojacking Nansh0u i criminal hacker hanno finora utilizzato un certificato digitale rilasciato dalla Certificate Authority Verisign a nome di una falsa azienda cinese (Hangzhou Hootian Network Technology), che è stato prontamente revocato.

Il payload di Nansh0u, inoltre, è stato protetto e offuscato con VMProtect, uno strumento software usato proprio per impedire azioni di reverse engineer sul codice malevolo da parte dei malware hunter.

L’importanza di usare credenziali di accesso robuste

Si tratta dunque di caratteristiche tecniche che, secondo Marco Ramilli, Founder & CEO di Yoroi, pongono “l’operazione Nansh0u perfettamente in linea con le attuali aspettative relative ai cyber threats. Tecniche avanzate come Privilege Escalation, l’utilizzo di “offuscatori professionali” e l’installazione di drivers firmati sono tecniche spesso attribuite ad APT, non certo comunemente individuabili su larga scala”.

“Identificare tali tecniche all’interno di un attacco opportunistico risulta alquanto significativo”, prosegue Ramilli. “Gli attaccanti migliorano a vista d’occhio, i sistemi classici di detection non sono più sufficienti e i professionisti del settore sono ancora troppo pochi. Certo, ancora una volta si può colpevolizzare le solite “password deboli”, ma la realtà è che una volta compromesso un sistema, individuare l’impianto installato risulta essere sempre più complesso. È forse giunto il momento di pensare/aspettarsi un nuovo salto tecnologico?”.

La debolezza delle credenziali di accesso utilizzate sui server MS-SQL è stata dunque una delle principali ragioni che hanno sancito il successo del cryptojacking Nansh0u, consentendo di compromettere migliaia di macchine in pochissimo tempo mediante un semplice attacco di tipo brute force.

È importante, quindi, adottare sempre password robuste e difficilmente identificabili per proteggere l’accesso ai server aziendali e, di conseguenza, alle infrastrutture e ai dati riservati.

Così come è utile adottare politiche di hardening dei server mirate a potenziarne il livello di sicurezza.

Infine, può tornare molto utile lo script script Powershell messo a punto dai ricercatori dei Guardicore Labs per individuare i server potenzialmente compromessi da Nansh0u.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5