Guardicore Labs 的安全研究人員發布了一份報告，該報告關于在全球范圍內攻擊 Windows MS-SQL 和 PHPMyAdmin 服務器的黑客活動，代號“Nansh0u”，且這一攻擊源頭是中國黑客。報告稱，包括屬于醫療保健、電信、媒體和 IT 公司等在內的 50,000 多臺服務器受到了攻擊，一旦受到攻擊，目標服務器就會被惡意負載感染。黑客還安裝了一個復雜的內核模式 rootkit 來防止惡意軟件被終止。

這并非典型的加密攻擊，它使用 APT (Advanced Persistent Threat，高級持續性威脅，本質是針對性攻擊)中經常出現的技術，例如假證書和特權升級漏洞。

該攻擊活動于 4 月初被首次發現，但可以追溯至 2 月 26 日，每天有超過 700 個新的受害者。研究人員發現已存在20 多種不同的有效惡意負載，這期間每周至少會有一個新的惡意負載被創建，受感染的計算機數量在一個月內就已翻倍。

在使用管理權限成功登錄身份驗證后，攻擊者在受感染系統上執行一系列 MS-SQL 命令，以從遠程文件服務器下載惡意負載，并以 SYSTEM 權限運行它。

在后臺，有效負載利用已知的權限提升漏洞(CVE-2014-4113)來獲取受感染系統的 SYSTEM 權限。

然后，有效負載在受感染的服務器上安裝加密貨幣挖掘惡意軟件以挖掘 TurtleCoin 加密貨幣。

研究人員還發布了一份完整的IoC(危害指標)列表和一個免費的基于 PowerShell 的腳本，Windows管理員可以使用它來檢查他們的系統是否被感染。

由于攻擊依賴于 MS-SQL 和 PHPMyAdmin 服務器的弱用戶名和密碼組合，因此，強烈建議管理員為賬戶設置一個復雜密碼。

調查報告完整版：https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/