Un nouveau rapport de sécurité indique que l'opération de crypto-extraction KingMiner est de retour dans le jeu avec de nouvelles attaques contre MSSQL (Microsoft SQL) bases de données.
Les propriétaires de ces bases de données doivent sécuriser leurs serveurs, alors que les chercheurs de Sophos ont détecté des attaques par force brute tentant de deviner le mot de passe du "à", ou compte administrateur de serveur.
Une fois que les attaquants ont réussi à s'introduire dans la base de données MSSQL ciblée, ils créent un nouvel utilisateur de base de données surnommé "dbhelp". La prochaine étape de cette opération malveillante consiste à installer le célèbre mineur de crypto-monnaie KingMiner qui exploite les ressources du serveur.
Les dernières attaques du KingMiner Botnet
Selon Rapport Sophos (PDF), "KingMiner est un botnet opportuniste qui garde le silence et vole sous le radar". Ses opérateurs sont ingénieux mais ils ont des ressources limitées, comme visible par les outils et les concepts librement disponibles qu'ils incluent dans leurs opérations. Actif depuis 2018, le botnet a récemment commencé à expérimenter l'exploit EternalBlue.
Le processus d'infection peut utiliser un exploit d'élévation de privilèges (CVE-2017-0213 ou CVE2019-0803) pour empêcher le système d'exploitation de bloquer leurs activités. Les opérateurs préfèrent utiliser des logiciels open source ou du domaine public (comme PowerSploit ou Mimikatz) et avoir suffisamment de compétences pour personnaliser et améliorer le code source. Ils utilisent également des familles de logiciels malveillants accessibles au public comme le Gh0st RAT ou la porte dérobée Gates.
D'autres techniques déployées par le gang incluent le chargement latéral de DLL, et DGA (algorithme générateur de nom de domaine) pour changer automatiquement les domaines d'hébergement sur une base hebdomadaire.
L'une des choses les plus particulières de ces récentes attaques est que les opérateurs de KingMiner «corrigent» les systèmes contre la vulnérabilité BlueKeep.:
Si l'ordinateur infecté n'est pas corrigé contre la vulnérabilité Bluekeep, KingMiner désactive le service RDP vulnérable afin de verrouiller les botnets concurrents.
En novembre 2018, KingMiner était ciblant à nouveau les serveurs Microsoft, IIS principalement SQL, tenter de deviner leurs mots de passe en utilisant des attaques par force brute. Une fois l'accès obtenu, le malware téléchargerait un fichier Windows Scriptlet (.sct) et l'exécuter sur l'ordinateur de la victime. L'analyse a montré que le mineur était configuré pour utiliser 75% de la capacité CPU de la machine infectée. Cependant, des erreurs de codage permettraient en fait de 100% l'utilisation de la CPU.
Quant à la piscine minière du malware, c'était privé et l'API avait été désactivée, avec le portefeuille jamais utilisé dans les piscines minières publiques. Cela a rendu plutôt impossible pour les chercheurs de suivre les domaines qui étaient utilisés, ou pour définir la quantité de pièces Monero minées.