Investigadores del Guardicore Labs publicaron el pasado 29 de mayo un amplio informe detallando una campaña de cryptojacking que atacaba a servidores MS-SQL (Windows) y PHPMyAdmin. Esta campaña fue seguida por Guardicore Labs en los meses de abril y mayo.
Esta campaña maliciosa ha sido bautizada como Nansh0u, una campaña realizada por cibercriminales chinos que consiguieron infectar cerca de 50.000 servidores. Una vez que los servidores eran comprometidos, se infectaron con payloads maliciosos y éstos a su vez, utilizaron un crypto-miner e instalaron un sofisticado rootkit de modo kernel para evitar de esta manera que el malware finalice y asegurando una persistencia en el equipo infectado.
Esta campaña no es un típico crypto-miner. Nansh0u lo que utiliza son técnicas que se ven a menudo en APTs, como certificados falsos y explotaciones de escalada de privilegios. El problema reside que para ataques de este tipo, existe un gran arsenal de herramientas que pueden caer en malas manos y provocar daños mayores.
LEER MAS: https://unaaldia.hispasec.com/2019/06/infectados-mas-de-50-000-servidores-ms-sql-y-phpmyadmin-con-un-rootkit.html