Un nuovo rapporto sulla sicurezza indica che l'operazione di cripto-mining di KingMiner è tornata in gioco con nuovi attacchi contro MSSQL (Microsoft SQL) banche dati.
I proprietari di tali database dovrebbero proteggere i propri server, poiché i ricercatori di Sophos hanno rilevato attacchi di forza bruta nel tentativo di indovinare la password per "per", o account amministratore del server.
Una volta che gli aggressori riescono a penetrare nel database MSSQL di destinazione, creano un nuovo utente del database chiamato "dbhelp". Il prossimo passo di questa operazione dannosa è l'installazione del noto minatore di criptovaluta KingMiner che sfrutta le risorse del server.
Gli ultimi attacchi di KingMiner Botnet
Secondo Rapporto Sophos (PDF), "KingMiner è una botnet opportunistica che tace e vola sotto il radar". I suoi operatori sono pieni di risorse ma hanno risorse limitate, come visibile dagli strumenti e dai concetti disponibili gratuitamente che includono nelle loro operazioni. Attivo da 2018, la botnet ha recentemente iniziato a sperimentare l'exploit EternalBlue.
Il processo di infezione può utilizzare un exploit di elevazione dei privilegi (CVE-2017-0213 o CVE2019-0803) per impedire al sistema operativo di bloccare le proprie attività. Gli operatori preferiscono utilizzare software open source o di dominio pubblico (come PowerSploit o Mimikatz) e dispone di competenze sufficienti per personalizzare e migliorare il codice sorgente. Usano anche famiglie di malware disponibili pubblicamente come Gh0st RAT o Gdoor backdoor.
Altre tecniche implementate dalla banda includono il caricamento laterale della DLL, e DGA (algoritmo del generatore di nomi di dominio) per cambiare automaticamente i domini di hosting su base settimanale.
Una delle cose più peculiari di questi recenti attacchi è che gli operatori KingMiner "patch" sistemi contro la vulnerabilità BlueKeep:
Se il computer infetto non è patchato contro la vulnerabilità di Bluekeep, KingMiner disabilita il servizio RDP vulnerabile al fine di bloccare le botnet concorrenti.
A novembre 2018, Era KingMiner ancora una volta indirizzato ai server Microsoft, IIS principalmente SQL, tentando di indovinare le loro password usando attacchi di forza bruta. Una volta ottenuto l'accesso, il malware scarica un file Scriptlet di Windows (.sct) ed eseguirlo sul computer della vittima. L'analisi ha mostrato che il minatore era configurato per l'uso 75% della capacità della CPU della macchina infetta. Tuttavia, gli errori di codifica sarebbero infatti riusciti a farlo 100% l'utilizzo della CPU.
Per quanto riguarda la piscina mineraria del malware, era privato e l'API era stata disattivata, con il portafoglio non è mai stato usato in piscine minerarie pubbliche. Ciò ha reso piuttosto impossibile per i ricercatori tenere traccia dei domini che erano in uso, o per definire la quantità di monete Monero minate.