Эксперты компании Sophos предупреждают об активности ботнета KingMiner , который нацелен на базы данных MSSQL. С помощью брутфорс-атак этот ботнет пытается подободрать учетные данные для учетной записи sa (server administrator). В MSSQL это учетная запись с самыми высокими привилегиями.
Если логин и пароль были успешно подобраны, злоумышленники создают еще одного пользователя БД с именем dbhelp, а также устанавливают майнер, который использует ресурсы сервера, чтобы добывать криптовалюту Monero и приносить прибыль свои операторам.
Аналитики Sophos пишут, что за ботнетом KingMiner стоит та же самая хакерская группировка, о которой в конце 2018 года рассказывали эксперты компании Check Point, а летом 2019 года специалисты Qihoo 360. Хотя большинство ботнетов не «живут» дольше нескольких недель или месяцев, KingMiner, по всей видимости, приносит своим операторам неплохую прибыль, так как атаки продолжаются до сих пор.
За прошедшие годы код ботнета изменился. В частности, KingMiner стал более устойчив и научился получать root-права на сервере Windows, где работает база данных MSSQL. Злоумышленники добиваются этого с помощью эксплуатации уязвимостей для повышения привилегий (CVE-2017-0213 или CVE-2019-0803), и те предоставляют KingMiner возможность выполнения кода с правами администратора.
Кроме того, теперь KingMiner старается развивать свою атаку дальше, за пределы БД MSSQL, проникая в другие системы компании-жертвы, к которым подключена база. Исследователи отмечают, что внимание к внутренним сетям компаний – не редкость для такого типа малвари, и похожее поведение демонстрируют многие майнинговые ботнеты. KingMiner пока находится лишь на начальном этапе реализации этой функциональности.
Развивать свои атаки малварь может двумя способами. Во-первых, KingMiner экспериментирует со знаменитым эксплоитом EternalBlue, который использовался для распространения WannaCry и NotPetya в 2017 году. Во-вторых, ботнет пытается расширяться локально, загружая различные инструменты и дополнительную малварь на зараженные серверы MSSQL. К ним относятся Mimikatz, троян удаленного доступа Gh0st и троян-бэкдор Gates. Считается, что в этом случае целью KingMiner является кража паролей от других систем компании, к которым может быть подключен сервер БД.
Но аналитики Sophos считают, что самой необычной особенностью KingMiner является то, что вредонос сканирует зараженные системы, чтобы определить, не уязвимы ли они перед проблемой BlueKeep. Если система оказывается уязвима, KingMiner спешно отключает RDP-доступ к базе данных, чтобы предотвратить взлом сервера конкурирующими хакерским группировкам.
Источник: xakep