Um novo relatório de segurança indica que a operação de mineração de criptografia KingMiner está de volta ao jogo com novos ataques contra o MSSQL (Microsoft SQL) bases de dados.
Os proprietários desses bancos de dados devem proteger seus servidores, quando os pesquisadores da Sophos detectaram ataques de força bruta tentando adivinhar a senha do "para”, ou conta de administrador do servidor.
Uma vez que os invasores conseguem invadir o banco de dados MSSQL de destino, eles criam um novo usuário de banco de dados chamado dbhelp. A próxima etapa desta operação maliciosa é instalar o conhecido minerador de criptomoedas KingMiner que aproveita os recursos do servidor.
Os mais recentes ataques do KingMiner Botnet
De acordo com Relatório Sophos (PDF), “O KingMiner é um botnet oportunista que fica quieto e voa sob o radar”. Seus operadores são engenhosos, mas eles têm recursos limitados, conforme visível pelas ferramentas e conceitos disponíveis gratuitamente que eles incluem em suas operações. Ativo Desde 2018, a botnet começou recentemente a experimentar a exploração EternalBlue.
O processo de infecção pode usar uma exploração de elevação de privilégio (CVE-2017-0213 ou CVE2019-0803) para impedir que o sistema operacional bloqueie suas atividades. Os operadores preferem usar software de código aberto ou de domínio público (como PowerSploit ou Mimikatz) e possui habilidades suficientes para fazer personalização e aprimoramentos no código fonte. Eles também usam famílias de malware disponíveis ao público, como o Gh0st RAT ou o Gates backdoor.
Outras técnicas implantadas pela quadrilha incluem carregamento lateral de DLL, e DGA (algoritmo gerador de nome de domínio) alterar automaticamente os domínios de hospedagem semanalmente.
Uma das coisas mais peculiares desses ataques recentes é que os operadores KingMiner "corrigem" os sistemas contra a vulnerabilidade do BlueKeep:
Se o computador infectado não estiver corrigido contra a vulnerabilidade Bluekeep, O KingMiner desabilita o serviço RDP vulnerável para bloquear as redes de bots concorrentes.
Em novembro 2018, KingMiner era mais uma vez visando servidores Microsoft, principalmente IIS SQL, tentando adivinhar suas senhas usando ataques de força bruta. Uma vez obtido o acesso, o malware baixaria um arquivo Scriptlet do Windows (.sct) e execute no computador da vítima. A análise mostrou que o mineiro estava configurado para usar 75% da capacidade da CPU da máquina infectada. Contudo, erros de codificação de fato tornariam 100% utilização da CPU.
Quanto ao pool de mineração do malware, era privado e a API havia sido desativada, com a carteira nunca foi usada em piscinas públicas de mineração. Isso tornou impossível para os pesquisadores rastrear os domínios que estavam em uso, ou para definir a quantidade de moedas Monero extraídas.