Kingminer corregge i server vulnerabili per bloccare i concorrenti
10 Giugno 2020 - Tempo di lettura: 8 minuti
La botnet Kingminer sta cercando di mantenere la loro presenza aziendale applicando aggiornamenti rapidi su Microsoft su computer infetti vulnerabili per bloccare altri attori della minaccia che potrebbero rivendicare un pezzo della loro fetta di mercato.
Kingminer è in circolazione da circa due anni e continua a farsi forza sui server SQL per installare il miner di criptovaluta XMRig per Monero.
Nelle loro ultime campagne, gli operatori di botnet hanno iniziato a utilizzare l'exploit EternalBlue e chiudendo le porte all'accesso remoto ai loro sistemi compromessi.
Dalla forza bruta al pieno controllo
Gli attacchi iniziano con i server SQL esposti pubblicamente alla bruta Kingminer fino a quando non indovinano la password corretta per l'account "SA" o amministratore di sistema.
Script aggiuntivi vengono scaricati dopo aver ottenuto l'accesso al server, per consentire il pieno controllo della macchina. Stanno usando la stored procedure Microsoft SQL " xp_cmdshell " che consente di eseguire un'istruzione SQL per avviare una shell dei comandi di Windows.
Poiché i comandi vengono eseguiti nel contesto del servizio Windows MSSQL, ereditano le stesse autorizzazioni, che sono al di sopra di un utente standard. Alla fine, gli aggressori ottengono pieno accesso al server tramite i comandi di PowerShell che forniscono loro una web shell remota e installano i minatori.
EternalBlue e BlueKeep
Nelle recenti campagne Kingminer osservate da Sophos, gli operatori hanno utilizzato uno spargitore EternalBlue, sebbene la consegna della sceneggiatura non si sia conclusa con uno sfruttamento riuscito.
Da quando è trapelato dal gruppo di hacker di Shadow Brokers nell'aprile 2017, EternalBlue viene spesso utilizzato negli attacchi. Il governo americano lo elenca tra i primi 10 difetti più sfruttati negli ultimi anni.
Sophos afferma che lo script EternalBlue utilizzato da Kingminer è quasi identico a quello utilizzato da Powerghost / Wannaminer, un'altra botnet di criptovaluta.
Un componente del malware è un VBScript che controlla se l'host infetto esegue una versione di Windows che è vulnerabile al BlueKeep codice in modalità remota falla ( CVE-2019 - 0708 ) nel protocollo RDP di Microsoft: Windows XP, Windows Vista e Windows 7 a Windows Server 2003 e Windows Server 2008.
