Уже доподлинно известно, что для взлома серверов Windows MS-SQL и PHPMyAdmin, группировка применяла брутфорс, затем загружала в них вирусные ПО. У злоумышленников был достаточно широкий арсенал, специалисты компании Guardicore Labs обнаружили целых 20 разновидностей вредоносных модулей. Хакеры проходили авторизацию на правах администратора, а затем использовали уязвимость CVE-2014-4113 в драйвере win32k.sys для установки вредоносных ПО. Впоследствии они загружали на взломанный сервер программу для скрытой добычи криптовалют – TurtleCoin.
У злоумышленников была фиктивная компания Hangzhou Hootian Network Technology. Ее просроченный цифровой сертификат хакеры использовали, чтобы избежать завершения процесса. Сертификат был получен в удостоверяющем центре Verisign.
Компания Guardicore Labs предлагает всем желающим бесплатно воспользоваться своим скриптом, который поможет определить, есть ли в системе вирусные программы. Специалисты по безопасности подчеркнули, что под угрозу атаки Nansh0u могут попасть те серверы, где учетные данные ненадежны.