A Guardicore Labs kiberbiztonsági kutatói egy MS-SQL és PHPMyAdmin szerverek ellen zajló cryptojacking támadási hullámról adnak hírt. A Nansh0u névre keresztelt malware terjesztő kampány során ─ vélhetően kínai hackerek ─ már közel 50 000 szervert fertőztek meg. A támadók először nyilvánosan elérhető szerverek után kutatnak, amelyeknél próbálgatás útján (brute force attack) igyekeznek hozzáférést szerezni a gyenge jelszóval védett admin fiókokhoz, majd többféle káros kód segítségével TurtleCoin vagy Monero kriptovalutát bányászó malware-t telepíteni a kompromittált rendszerre. A kutatók szerint a támadás atipikus abban a tekintetben, hogy a támadók APT csoportokra jellemző kifinomult technikákat is alkalmaznak: jogosultság-kiterjesztésre szolgáló exploitot, digitális tanúsítvánnyal rendelkező rootkitet, illetve a kód visszafejtésének nehezítése céljából VMProtect-et. Mindez esettanulmányként szolgálhat egy alaposan megtervezett, több modult alkalmazó támadási sémára, valamint előre vetítheti azt, hogy a kiberbűnözői körök a jövőben egyre nagyobb mértékben élnek majd komplex technikákkal. Másrészt kiváló példa a gyenge jelszavakból eredő biztonsági kockázatra is.
(Szerk.: A kutatók közzétették az általuk azonosított indikátorok teljes listáját, valamint egy ingyenes PowerShell szkriptet, amivel a rendszergazdák megállapíthatják, hogy rendszerük érintett-e a fertőzésben.)
