TurtleCoin: Über 50000 Datenbank-Server über Windows-Bug mit Krypto-Minern infiziert

Mutmaßlich aus China operierende Hacker haben schlecht konfigurierte Datenbank-Server über eine alte Windows-Schwachstelle gehackt und die Systeme mit Krypto-Minern infiziert.


Anzeige

Sicherheitsforscher von Guardicore Labs haben die Kampagne letzten Mittwoch öffentlich gemacht, wie threatpost.com berichtet. Sie sagten, dass die Nansh0u-Kampagne (benannt nach einer Textdateifolge in den Servern des Angreifers, die Nansh0u genannt wird) "kein weiterer gewöhnlicher Miner-Angriff" sei. Die Angreifer verwenden eine Open-Source-Kryptowährung namens TurtleCoin, die über Malware in die schlecht gesicherten Windows-Datenbankserver injiziert wird.

50000 Datenbank-Server gehackt

Bis zu 50.000 Server wurden in den letzten vier Monaten im Rahmen dieser hochkarätigen Kryptojacking-Kampagne infiziert. Die auf der Open-Source-Kryptowährung TurtleCoin basierende Krypto-Miner Malware wird über eine ausgeklügelte Kampagne verbreitet. Diese benutzt Techniken, die oft von fortgeschrittenen persistenten Bedrohungsgruppen (APT) verwendet werden, wie z.B. die Verwendung von Zertifikaten und 20 verschiedenen Payload-Versionen.

KRITIS-Netzwerk
(Quelle: Pexels Markus Spiske CC0 Lizenz)

Zu den betroffenen Maschinen gehören über 50.000 Server von Unternehmen aus den Bereichen Gesundheitswesen, Telekommunikation, Medien und IT", schreiben die Sicherheitsforscher in einer Analyse. "Einmal kompromittiert, wurden die Zielserver mit bösartigen Nutzlasten infiziert. Diese wiederum installierten wiederum einen Krypto-Miner sowie ein ausgeklügeltes Kernel-Modus-Rootkit, um zu verhindern, dass die Malware beendet wird."

Die Kampagne

Die Kampagne läuft seit Februar, so die Forscher. Im April bemerkten die Forscher drei ähnliche Angriffe – alle hatten Quell-IP-Adressen aus Südafrika, teilten den gleichen Angriffsprozess und verwendeten die gleiche Schwachstelle.

"Auf der Suche nach mehr Angriffen mit einem ähnlichen Muster fanden wir Angriffe, die bis zum 26. Februar zurückreichen, mit über siebenhundert neuen Opfern pro Tag", schreiben die Forscher. "Während unserer Untersuchung fanden wir 20 Versionen von bösartigen Payloads, wobei neue Payloads mindestens einmal pro Woche erstellt und unmittelbar nach ihrer Erstellung verwendet wurden."

Die Angreifer durchsuchen IP-Adressen nach offenen MS-SQL-Ports von MS-SQL-Servern. Dann versuchen sie mit Hilfe von Brute-Force-Methoden (unter Verwendung allgemein verwendeter Anmeldeinformationen) in diese exponierten Maschinen einzudringen. Das ist offenbar sehr erfolgreich.

Die Forscher  beobachteten im Zeitraum vom 13. April bis 13. Mai die Verdoppelung der Zahl der Infektionen auf 47.985. Die Opfer befanden sich hauptsächlich in China, den USA und Indien – aber auch in bis zu 90 Ländern erreichten die Angreifer die Opfer, so die Forscher von Guardicore gegenüber Threatpost.


Anzeige

Die Forscher vermuten in China beheimate Angreifer hinter der Kampagne, da die Hacker ihre Tools mit der chinesischen Programmiersprache EPL schreiben, und viele Protokolldateien und Binärdateien auf den Servern enthalten chinesische Zeichenketten. Details sind diesem threadpost-Artikel zu entnehmen. Heise hat hier einen deutschsprachigen Artikel zum Thema veröffentlicht.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu TurtleCoin: Über 50000 Datenbank-Server über Windows-Bug mit Krypto-Minern infiziert

  1. schewak sagt:

    ——
    Mutmaßlich auch China operierende Hacker haben schlecht konfigurierte Datenbank-Server über eine alte Windows-Schwachstelle gehackt …
    ——

    ähh, watt?
    wohl aus?! ;)

  2. Malte sagt:

    Alle diejenigen die CoinBlockerLists verwenden sind gegen Mining dieser Kampagne geschützt.
    99% der verwendeten Pools waren schon vor Bekanntwerden der Kampagne in den Listen enthalten.
    Ich empfehle daher jedem Admin die CoinBlockerLists zu verwenden, da damit Schäden in Millionenhöhe vermieden werden können.
    z.b. höhere Stromkosten aufgrund von Dauerbelastung durch Mining.
    Alle Listen können über folgenden Link gefunden werden: https://zerodot1.gitlab.io/CoinBlockerListsWeb/
    Die Listen werden regelmäßig gepflegt und Fehler immer schnell behoben.

Schreibe einen Kommentar zu Malte Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.