Campaña Nansh0u.
- Publicado: 29/05/2019
- Importancia: Alta
- Recursos afectados
A principios de abril se detectaron tres ataques de los cuales se identificaron tres direcciones IP originarias de Sudáfrica. Los incidentes compartían el mismo patrón de ataque, focalizándose en el mismo servicio y utilizando el mismo método de violación.
La campaña con sede en China se dirigía a sistemas Windows con vulnerabilidades, las cuales una vez comprometidas, eran infectadas con cargas útiles maliciosas, que a su al tiempo ejecutaban un crypto-minero e instalaban un rootkit de modo kernel para evitar la finalización del malware.
Lanzaron alrededor de 20 cargas útiles de diferentes versiones, las cuales utilizaban técnicas comunes como certificados falsos y escalamiento de privilegios.
Además, utilizan un conjunto de cinco servidores de ataque y seis servidores de conexión de respaldo.El ataque comienza con una serie de intentos de inicio de sesión dirigidos a los servidores MS-SQL para obtener privilegios de administrador.
- Escáner de puertos: se utiliza para detectar servidores MS-SQL que se ejecutan por direcciones. IP.
- Herramienta de fuerza bruta de MS-SQL: intenta iniciar sesión en el servidor MS-SQL utilizando miles de credenciales comunes aleatoriamente.
- Ejecución de código remoto: para ejecutar código malicioso el atacante deberá haber logrado escanear el puerto y lograr entrar al servidor.