Операторы ботнета KingMiner взламывают базы данных MSSQL
10 июня 2020 года
Специалисты из компании Sophos сообщили о вредоносной кампании, в рамках которой операторы ботнета KingMiner с помощью брутфорса взламывают учетные записи администратора баз данных MSSQL. Как только преступники взламывают уязвимую MSSQL-систему, они создают другого пользователя с именем «dbhelp» и устанавливают майнер криптовалюты Monero, использующий ресурсы сервера.
Операторы KingMiner и раньше осуществляли атаки — в конце 2018 года и в июле 2019 года. Хотя большинство вредоносных ботнетов прекращают существование после нескольких недель или месяцев активности, KingMiner, по-видимому, принес мошенникам достаточно прибыли для продолжения атак.
Операторы KingMiner продолжают совершенствовать код вредоносной программы, периодически добавляя новые функции. К примеру, вредонос может эксплуатировать уязвимости (CVE-2017-0213 или CVE-2019-0803) для повышения привилегий на системе и выполнения кода с правами администратора.
Операторы KingMiner добавили эту возможность с целью предотвратить сбои в его работе из-за решений безопасности или других ботнетов, которые могут заразить тот же сервер.
Кроме того, операторы KingMiner в настоящее время экспериментируют с эксплоитом EternalBlue, позволяющим злоумышленникам получить доступ к удаленным Windows-системам с помощью уязвимости в реализациях протокола Server Message Block (SMB). Хотя исправления были выпущены еще в 2017 году, не все компании применили их.
Как отметили специалисты, ботнет также способен загружать другие инструменты и вредоносные программы на зараженные серверы MSSQL. К ним относятся инструмент Mimikatz, троян для удаленного доступа Gh0st и бэкдор-троян Gates. Операторы KingMiner используют их для хищения паролей от других систем, к которым может быть подключен сервер базы данных.
По словам экспертов, одна из интересных особенностей кампании заключалась в том, что операторы KingMiner сканируют зараженную систему на предмет уязвимости BlueKeep в протоколе удаленного рабочего стола. Если система оказывается уязвимой, преступники отключали доступ RDP к базе данных, чтобы предотвратить взлом сервера другими вредоносами.
Источники[править]
Эта статья содержит материалы из статьи «Операторы ботнета KingMiner взламывают базы данных MSSQL», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.