Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
31/05/2019
Nansh0u, nou malware descobert
Els investigadors de ciberseguretat de Guardicore Labs han publicat un informe amb detalls del nou malware identificat que ha infectat més de 50.000 servidors de PhpMyAdmin i MS-SQL.
La majoria dels servidors afectats per aquest nou malware es troben allotjats a la Xina, els Estats Units i l'Índia. El vector d'atac principal és mitjançant força bruta cap als serveis MS-SQL i PhpMyAdmin que es troben públicament accessibles.
Nansh0o posseeix la capacitat de realitzar una escalada de privilegis explotant la vulnerabilitat en Windows amb identificador CVE-2014-4113, la qual cosa li permet executar codi amb privilegis de SYSTEM. A més, utilitza tècniques avançades de Rootkit per a la seua ocultació i defensa, prevenint que el procés puga ser detingut mentre realitza minat de la criptomoneda TurtleCoin (TRTL).
Els investigadors han inclòs un script perquè els administradors de sistemes ho utilitzen per a escanejar els seus servidors a la recerca d'aquest malware.