データベースサーバーを狙うハッキングキャンペーン

セキュリティベンダーGuardicoreのリサーチチームが、Windows MS-SQLとPHPMyAdminサーバーを狙うハッキングキャンペーンについて報告しています。

THE NANSH0U CAMPAIGN ? HACKERS ARSENAL GROWS STRONGER
https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/

このハッキングキャンペーンにより医療、通信、メディア、ITなど、複数の業種にわたり50,000以上のサーバーがハッキングされています。ハッキングが成功すると、サーバー上に暗号通貨のマイニングを行うマルウェア、および発見/駆除を防ぐためのカーネルモードRootkitがインストールされます。

Guardicoreが攻撃用サーバーのホスティング事業者と、rootkitの認証を行った認証局に連絡をとった結果、新たな攻撃は止んでいます。

インターネットからアクセス可能なWindows MS-SQLとPHPMyAdminサーバーを、単純なポートスキャナーで探し出し、ブルートフォース攻撃を仕掛けています。管理者権限でのログインに成功すると、攻撃用のペイロードを外部からダウンロードしSYSTEM権限で実行、暗号通貨TurtleCoinのマイニングを行うマルウェアをサーバー上にインストールします。

マルウェアは検知除けのために、偽の中国企業の名前でVerisignによってデジタル認証されています。

攻撃はMS-SQLとPHPMyAdminサーバーの弱いユーザー名、パスワードの組み合わせを利用するものでした。今後の同様の攻撃を防ぐためには、サーバー管理者は複雑で強いパスワードを利用する必要があります。

Nansho0uと名付けられた今回のキャンペーンは、標的型攻撃でよく見られるような、偽の認証や権限昇格の脆弱性を狙う手法を使っていました。これは、ひとつの組織を狙う標的型攻撃で見られるような手法が広く使われるようになっていることの表れと考えられます。

この記事の執筆・監修者

岡山大

三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として１０年間勤務の後、2001年三和コムテックに入社。
新規事業（WEBセキュリティビジネス）のきっかけとなる、自動脆弱性診断サービスを立ち上げ（2004年）から一環して、営業・企画面にて参画。 2009年に他の３社と中心になり、たち上げたJCDSC（日本カードセキュリティ協議会 / 会員企業422社）にて運営委員（現在,運営委員長）として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌（月刊消費者信用）にてコラム「セキュリティ考現学」を寄稿中。

→ 岡山大の他の記事を読む