Преступники устанавливают майнер криптовалюты, использующий ресурсы сервера.
Специалисты из компании Sophos сообщили о вредоносной кампании, в рамках которой операторы ботнета KingMiner с помощью брутфорса взламывают учетные записи администратора баз данных MSSQL. Как только преступники взламывают уязвимую MSSQL-систему, они создают другого пользователя с именем «dbhelp» и устанавливают майнер криптовалюты Monero, использующий ресурсы сервера.
Операторы KingMiner и раньше осуществляли атаки — в конце 2018 года и в июле 2019 года. Хотя большинство вредоносных ботнетов прекращают существование после нескольких недель или месяцев активности, KingMiner, по-видимому, принес мошенникам достаточно прибыли для продолжения атак.
Операторы KingMiner продолжают совершенствовать код вредоносной программы, периодически добавляя новые функции. К примеру, вредонос может эксплуатировать уязвимости (CVE-2017-0213 или CVE-2019-0803) для повышения привилегий на системе и выполнения кода с правами администратора.
Операторы KingMiner добавили эту возможность с целью предотвратить сбои в его работе из-за решений безопасности или других ботнетов, которые могут заразить тот же сервер.
Кроме того, операторы KingMiner в настоящее время экспериментируют с эксплоитом EternalBlue, позволяющим злоумышленникам получить доступ к удаленным Windows-системам с помощью уязвимости в реализациях протокола Server Message Block (SMB). Хотя исправления были выпущены еще в 2017 году, не все компании применили их.
Как отметили специалисты, ботнет также способен загружать другие инструменты и вредоносные программы на зараженные серверы MSSQL. К ним относятся инструмент Mimikatz, троян для удаленного доступа Gh0st и бэкдор-троян Gates. Операторы KingMiner используют их для хищения паролей от других систем, к которым может быть подключен сервер базы данных.
По словам экспертов, одна из интересных особенностей кампании заключалась в том, что операторы KingMiner сканируют зараженную систему на предмет уязвимости BlueKeep в протоколе удаленного рабочего стола. Если система оказывается уязвимой, преступники отключали доступ RDP к базе данных, чтобы предотвратить взлом сервера другими вредоносами.
От классики до авангарда — наука во всех жанрах