Huis > Cyber ​​Nieuws > KingMiner is terug in nieuwe aanvallen op MSSQL-servers
CYBER NEWS

KingMiner is terug in nieuwe aanvallen tegen MSSQL-servers

Een nieuw beveiligingsrapport geeft aan dat de KingMiner-cryptomining-operatie weer in het spel is met nieuwe aanvallen op MSSQL (Microsoft SQL) databases.

Eigenaars van dergelijke databases moeten hun servers beveiligen, terwijl Sophos-onderzoekers brute-force-aanvallen ontdekten die probeerden het wachtwoord voor de "naar", of serverbeheerdersaccount.

Zodra aanvallers erin slagen in te breken in de gerichte MSSQL-database, ze creëren een nieuwe databasegebruiker genaamd "dbhelp". De volgende stap van deze kwaadaardige operatie is het installeren van de bekende KingMiner cryptocurrency miner die gebruik maakt van de bronnen van de server.




De nieuwste aanvallen van het KingMiner-botnet

Volgens Sophos rapporteert (PDF), "KingMiner is een opportunistisch botnet dat zwijgt en onder de radar vliegt". De operators zijn vindingrijk, maar ze hebben beperkte middelen, zoals zichtbaar door de gratis beschikbare tools en concepten die ze opnemen in hun activiteiten. Actief sinds 2018, het botnet is onlangs begonnen te experimenteren met de EternalBlue-exploit.

Het infectieproces kan gebruik maken van een misbruik van bevoegdheden (CVE-2017-0213 of CVE2019-0803) om te voorkomen dat het besturingssysteem hun activiteiten blokkeert. De operators gebruiken bij voorkeur open source of publieke domeinsoftware (zoals PowerSploit of Mimikatz) en over voldoende vaardigheden beschikken om aanpassingen en verbeteringen aan de broncode aan te brengen. Ze gebruiken ook openbaar beschikbare malwarefamilies zoals de Gh0st RAT of de Gates-achterdeur.

Andere technieken die door de bende worden gebruikt, zijn onder meer DLL-zijladen, en DGA (algoritme voor het genereren van domeinnamen) om de hostingdomeinen automatisch wekelijks te wijzigen.

Een van de meest bijzondere dingen bij deze recente aanvallen is dat KingMiner-operators systemen "patchen" tegen de BlueKeep-kwetsbaarheid:

Als de geïnfecteerde computer niet is gepatcht tegen het Bluekeep-beveiligingslek, KingMiner schakelt de kwetsbare RDP-service uit om concurrerende botnets te blokkeren.


In november 2018, KingMiner was opnieuw gericht op Microsoft Servers, meestal IIS SQL, proberen hun wachtwoorden te raden door brute force-aanvallen te gebruiken. Zodra toegang is verkregen, de malware zou een Windows Scriptlet-bestand downloaden (.sct) en voer het uit op de computer van het slachtoffer. Uit de analyse bleek dat de mijnwerker was geconfigureerd om te gebruiken 75% van de CPU-capaciteit van de geïnfecteerde machine. Echter, codeerfouten zouden het in feite halen 100% benutting van de CPU.

Als voor de mijnbouw pool van de malware, het was privé en de API was uitgeschakeld, met de portemonnee is nooit gebruikt in openbare mijnbaden. Dit maakte het voor onderzoekers vrijwel onmogelijk om de domeinen te volgen die in gebruik waren, of de hoeveelheid gewonnen Monero munten definiëren.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens