Новости Kingminer патчит уязвимые серверы с целью блокировки конкурентов

Тема в разделе "Новости", создана пользователем TheFuzzStone, 15 июн 2020.

  1. TheFuzzStone

    Команда форума Администратор Модератор

    Регистрация:
    18 авг 2017
    Сообщения:
    303
    Симпатии:
    78
    1.jpg

    Операторы ботнета Kingminer пытаются удержать свой бизнес, применяя хотфиксы от Microsoft на уязвимых зараженных компьютерах, чтобы заблокировать их от других потенциальных угроз, которые могут претендовать на свой кусок пирога.

    Kingminer существует уже около двух лет и продолжает брутфорсить и пробивать себе дорогу на SQL-сервера, чтобы установить майнер XMRig для добычи Monero.

    В своих последних кампаниях операторы ботнета начали использовать эксплойт EternalBlue и закрывать дверь для удаленного доступа к своим скомпрометированным системам, говорится в новом докладе исследователей из компании Sophos, занимающейся вопросами кибербезопасности.

    От брутфорса до полного контроля

    Атаки начинаются с брутфорса Kingminer на публично разоблаченных SQL-серверах до тех пор, пока они не угадают правильный пароль для аккаунта 'SA' (системного администратора).

    Дополнительные скрипты загружаются после получения доступа к серверу, чтобы обеспечить полный контроль над машиной. Они используют хранимую процедуру 'xp_cmdshell' Microsoft SQL, которая позволяет выполнить SQL-запрос для запуска командной оболочки Windows.

    Поскольку команды выполняются в контексте службы MSSQL Windows, они наследуют те же самые разрешения, что и обычные пользователи. В конце концов злоумышленники получают полный доступ к серверу с помощью команд PowerShell, которые дают им удаленную web-оболочку и устанавливают майнеры.

    2.png

    EternalBlue и BlueKeep

    В недавних кампаниях Kingminer, за которыми наблюдала компания Sophos, операторы использовали спредер EternalBlue, хотя доставка скрипта не заканчивалась успешной эксплуатацией.

    С тех пор, как в апреле 2017 года он был слит хакерской группой Shadow Brokers, EternalBlue часто используется в атаках. Правительство США включило его в топ-10 наиболее эксплуатируемых недостатков за последние годы.

    Sophos утверждает, что скрипт EternalBlue, используемый Kingminer, практически идентичен скрипту, используемому Powerghost/Wannaminer, другим криптовалютным ботнетом.

    Одним из компонентов вредоносной программы является VBScript, который проверяет, работает ли зараженный хост под управлением версии Windows, уязвимой к ошибке удаленного выполнения кода BlueKeep (CVE-2019-0708) в протоколе RDP компании Microsoft: начиная с Windows XP, Windows Vista и заканчивая Windows 7, Windows Server 2003 и Windows Server 2008.

    «Если вредоносная программа обнаруживает, что она запущена на какой-либо из уязвимых систем, код переходит к списку установленных исправлений с помощью команды и ищет те, которые связаны с Bluekeep», - Sophos.

    В случае отсутствия исправления для BlueKeep Kingminer отключает протокол Remote Desktop Protocol, который, вероятно, отключит системы от других майнинговых ботнетов.

    Ботнеты со сканерами BlueKeep не новы. Похоже, что Kingminer перешел на новый уровень, по сравнению с Watchbog майнером, операторы которого добавили компонент в июле прошлого года.

    Sophos обнаружила, что Kingminer компилирует майнеры в DLL, которые загружаются параллельно с исполняемым файлом, подписанным действительным сертификатом.

    3.png

    Однако параллельная загрузка DLL - не единственный метод. Рефлективная загрузка, основанная на PowerShell, достигает той же цели, что и апплет Windows Control Panel, устанавливаемый компонентом спредера EternalBlue.

    В докладе компании Sophos подробно рассказывается о технических особенностях ботнета Kingminer для добычи криптовалюты. По оценке исследователей, это средняя преступная компания по размерам, достаточно творческая, чтобы создавать пользовательские решения, начиная с проектов с открытым исходным кодом.

    Источник: Kingminer patches vulnerable servers to lock out competitors

    Перевод:
    TheFuzzStone (@TheFuzzStone)
    Редактирование:
    Agent LvM (@LvMi4)
    Коррекция:
    Kukima (@Kukima)
     
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.