Kingminer corregge i server vulnerabili per bloccare i concorrenti

Kingminer corregge i server vulnerabili per bloccare i concorrenti

La botnet Kingminer sta cercando di mantenere la loro presenza aziendale applicando aggiornamenti rapidi su Microsoft su computer infetti vulnerabili per bloccare altri attori della minaccia che potrebbero rivendicare un pezzo della loro fetta di mercato.

Kingminer è in circolazione da circa due anni e continua a farsi forza sui server SQL per installare il miner di criptovaluta XMRig per Monero.

Nelle loro ultime campagne, gli operatori di botnet hanno iniziato a utilizzare l'exploit EternalBlue e chiudendo le porte all'accesso remoto ai loro sistemi compromessi.

Dalla forza bruta al pieno controllo

Gli attacchi iniziano con i server SQL esposti pubblicamente alla bruta Kingminer fino a quando non indovinano la password corretta per l'account "SA" o amministratore di sistema.

Script aggiuntivi vengono scaricati dopo aver ottenuto l'accesso al server, per consentire il pieno controllo della macchina. Stanno usando la stored procedure Microsoft SQL xp_cmdshell " che consente di eseguire un'istruzione SQL per avviare una shell dei comandi di Windows.
Poiché i comandi vengono eseguiti nel contesto del servizio Windows MSSQL, ereditano le stesse autorizzazioni, che sono al di sopra di un utente standard. Alla fine, gli aggressori ottengono pieno accesso al server tramite i comandi di PowerShell che forniscono loro una web shell remota e installano i minatori.

EternalBlue e BlueKeep

Nelle recenti campagne Kingminer osservate da Sophos, gli operatori hanno utilizzato uno spargitore EternalBlue, sebbene la consegna della sceneggiatura non si sia conclusa con uno sfruttamento riuscito.

Da quando è trapelato dal gruppo di hacker di Shadow Brokers nell'aprile 2017, EternalBlue viene spesso utilizzato negli attacchi. Il governo americano lo elenca tra i primi 10 difetti più sfruttati negli ultimi anni.

Sophos afferma che lo script EternalBlue utilizzato da Kingminer è quasi identico a quello utilizzato da Powerghost / Wannaminer, un'altra botnet di criptovaluta.

Un componente del malware è un VBScript che controlla se l'host infetto esegue una versione di Windows che è vulnerabile al BlueKeep codice in modalità remota falla ( CVE-2019 0708 ) nel protocollo RDP di Microsoft: Windows XP, Windows Vista e Windows 7 a Windows Server 2003 e Windows Server 2008.


Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.