Esta campanha maliciosa encontra-se sob a designação de "Nansh0u", e está a ser levada a cabo por um grupo APT chinês, que explora os sistemas e instala rootkits nos servidores infetados de forma a prevenir que o malware se apague.

O ataque baseia-se na técnica de força bruta após encontrar servidores publicamente acessíveis através da análise ou varredura de portas. Após efetuado o login com privilégios de administrador, os atacantes executam uma série de comandos MS-SQL nos sistemas para baixarem um payload malicioso de um servidor remoto e executá-lo com privilégios de sistema.

Este vírus aproveita-se de uma falha de elevação de privilégios, dada pelo CVE-2014-4113.

Depois disto, o payload instala um malware de mineração de criptomoedas para minerar o TurtleCoin.

Dado que o ataque acontece devido à existência de combinações de username e password fracas nos servidores, aconselha-se os administradores a manterem passwords fortes e complexas para as suas contas.

Fonte: https://www.zdnet.com/article/over-50000-ms-sql-phpmyadmin-servers-infected-in-nansh0u-campaign/