Guardicore Labs的安全研究人員發布了一份報告，該報告關於在全球範圍內攻擊Windows MS-SQL和PHPMyAdmin服務器的黑客活動，代號“Nansh0u”，且這一攻擊源頭是中國黑客。報告稱，包括屬於醫療保健、電信、媒體和IT公司等在內的50,000多台服務器受到了攻擊，一旦受到攻擊，目標服務器就會被惡意負載感染。黑客還安裝了一個複雜的內核模式rootkit來防止惡意軟件被終止。

這並非典型的加密攻擊，它使用APT （Advanced Persistent Threat，高級持續性威脅，本質是針對性攻擊）中經常出現的技術，例如假證書和特權升級漏洞。

該攻擊活動於4 月初被首次發現，但可以追溯至2 月26 日，每天有超過700 個新的受害者。研究人員發現已存在 20 多種不同的有效惡意負載，這期間每周至少會有一個新的惡意負載被創建，受感染的計算機數量在一個月內就已翻倍。

在使用管理權限成功登錄身份驗證後，攻擊者在受感染系統上執行一系列MS-SQL命令，以從遠程文件服務器下載惡意負載，並以SYSTEM權限運行它。

在後台，有效負載利用已知的權限提升漏洞（CVE-2014-4113）來獲取受感染系統的SYSTEM 權限。

然後，有效負載在受感染的服務器上安裝加密貨幣挖掘惡意軟件以挖掘TurtleCoin 加密貨幣。

研究人員還發布了一份完整的IoC（危害指標）列表和一個免費的基於PowerShell的腳本，Windows管理員可以使用它來檢查他們的系統是否被感染。

由於攻擊依賴於MS-SQL 和PHPMyAdmin 服務器的弱用戶名和密碼組合，因此，強烈建議管理員為賬戶設置一個複雜密碼。

調查報告完整版：https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/