Buzg’unchilar butun dunyo bo’ylab Windows MS-SQL va PHPMyAdmin serverlarini nishonga olishmoqda.
50 000 dan ortiq Windows MS-SQL va PHPMyAdmin serverlari kriptovalyutani qazib olish uchun zararli dastur bilan zararlangan. <br />
Guardicore Labs keng miqyosli kriptovalyuta qazib olish kampaniyasi haqida batafsil hisobotni e’lon qildi, unda Xitoyning APT guruhi butun dunyo bo’ylab Windows MS-SQL va PHPMyAdmin serverlariga kriptominerlar va rootkitlarni kiritmoqda. Tadqiqotchilarning fikricha, tajovuzkorlar allaqachon sog‘liqni saqlash, telekommunikatsiya va IT sohalaridagi tashkilotlarga tegishli 50 000 dan ortiq serverlarni buzishgan. Nansh0u deb nomlangan zararli dastur joriy yilning fevral oyi oxirida ishga tushirilgan, biroq ekspertlar tomonidan faqat aprel oyi boshida aniqlangan. Hujumchilar Windows MS-SQL va PHPMyAdmin serverlariga onlayn kirishni aniqladilar, ularni shafqatsizlarcha majburlab, keyin ularni zararli dasturlar bilan yuqtirishdi. Tadqiqotchilar zararli modullarning 20 xil versiyasini aniqladilar.
Administrator imtiyozlari bilan muvaffaqiyatli tizimga kirgandan so’ng, tajovuzkorlar buzilgan tizimda bir qator MS-SQL buyruqlarini bajardilar va SYSTEM imtiyozlari bilan ishlaydigan (win32k drayverida CVE-2014-4113 ma’lum zaiflikdan foydalangan holda) uzoq serverdan zararli foydali yukni yuklab olishdi. Keyin zararli modul TurtleCoin kriptovalyuta qazib olish dasturini yuklab oldi va jarayon tugashining oldini olish uchun Verisign sertifikatlash organi tomonidan berilgan muddati o‘tgan raqamli sertifikatdan foydalangan. Sertifikatda Xitoyning uydirma kompaniyasi Hangzhou Hootian Network Technology nomi ko’rsatilgan.
Zaif hisob ma’lumotlariga ega serverlar birinchi navbatda xavf ostida, shuning uchun barcha ma’murlarga yanada murakkab login va parol birikmalarini o’rnatish tavsiya etiladi. Mutaxassislar tizimlarni zararli dasturlarni skanerlash uchun bepul skriptni ham taqdim etdilar.
