Бесплатно Экспресс-аудит сайта:

11.06.2020

Операторы ботнета KingMiner взламывают базы данных MSSQL

Специалисты из компании Sophos сообщили о вредоносной кампании, в рамках которой операторы ботнета KingMiner с помощью брутфорса взламывают учетные записи администратора баз данных MSSQL. Как только преступники взламывают уязвимую MSSQL-систему, они создают другого пользователя с именем «dbhelp» и устанавливают майнер криптовалюты Monero, использующий ресурсы сервера.

Операторы KingMiner и раньше осуществляли атаки — в конце 2018 года и в июле 2019 года. Хотя большинство вредоносных ботнетов прекращают существование после нескольких недель или месяцев активности, KingMiner, по-видимому, принес мошенникам достаточно прибыли для продолжения атак.

Операторы KingMiner продолжают совершенствовать код вредоносной программы, периодически добавляя новые функции. К примеру, вредонос может эксплуатировать уязвимости (CVE-2017-0213 или CVE-2019-0803) для повышения привилегий на системе и выполнения кода с правами администратора.

Операторы KingMiner добавили эту возможность с целью предотвратить сбои в его работе из-за решений безопасности или других ботнетов, которые могут заразить тот же сервер.

Кроме того, операторы KingMiner в настоящее время экспериментируют с эксплоитом EternalBlue, позволяющим злоумышленникам получить доступ к удаленным Windows-системам с помощью уязвимости в реализациях протокола Server Message Block (SMB). Хотя исправления были выпущены еще в 2017 году, не все компании применили их.

Как отметили специалисты, ботнет также способен загружать другие инструменты и вредоносные программы на зараженные серверы MSSQL. К ним относятся инструмент Mimikatz, троян для удаленного доступа Gh0st и бэкдор-троян Gates. Операторы KingMiner используют их для хищения паролей от других систем, к которым может быть подключен сервер базы данных.

По словам экспертов, одна из интересных особенностей кампании заключалась в том, что операторы KingMiner сканируют зараженную систему на предмет уязвимости BlueKeep в протоколе удаленного рабочего стола. Если система оказывается уязвимой, преступники отключали доступ RDP к базе данных, чтобы предотвратить взлом сервера другими вредоносами.