Οι χειριστές του cryptojacking Kingminer botnet προσπαθούν να κρατήσουν την επιχείρησή τους ανταγωνιστκή εφαρμόζοντας επείγουσες επιδιορθώσεις από τη Microsoft σε ευάλωτους μολυσμένους υπολογιστές για να κλειδώσουν άλλους παράγοντες που ενδέχεται να διεκδικήσουν ένα κομμάτι της πίτας τους.
Το Kingminer κυκλοφορεί εδώ και περίπου δύο χρόνια και συνεχίζει να κάνει brute-force στους SQL servers για να εγκαταστήσει τον miner κρυπτογράφησης XMRig για το Monero.
Στις τελευταίες εκστρατείες τους, οι διαχειριστές του botnet άρχισαν να χρησιμοποιούν το EternalBlue exploit και έκλεισαν την πόρτα της απομακρυσμένης πρόσβασης στα παραβιασμένα συστήματά τους, δείχνει μια νέα αναφορά από ερευνητές της εταιρείας Sophos cybersecurity.
Από το brute force στον πλήρη έλεγχο
Οι επιθέσεις ξεκινούν με το Kingminer brute-force που εκθέτει δημόσια τους SQL servers μέχρι να μαντέψουν τον σωστό κωδικό πρόσβασης για το λογαριασμό «SA» ή διαχειριστή συστήματος.
Επιπλέον scripts «κατεβαίνουν» αφού αποκτηθεί πρόσβαση στον server για να επιτρέψουν τον πλήρη έλεγχο του συστήματος. Χρησιμοποιούν τη διαδικασία αποθήκευσης Microsoft SQL «xp_cmdshell» που επιτρέπει την εκτέλεση μιας δήλωσης SQL για την εκκίνηση ενός Windows command shell.
Δεδομένου ότι οι εντολές εκτελούνται στο πλαίσιο της υπηρεσίας MSSQL Windows, κληρονομούν τα ίδια δικαιώματα, τα οποία είναι πάνω από έναν τυπικό χρήστη. Στο τέλος, οι εισβολείς έχουν πλήρη πρόσβαση στον server μέσω εντολών PowerShell που τους δίνουν ένα remote web shell και εγκαθιστούν τους miners.
EternalBlue και BlueKeep
Σε πρόσφατες εκστρατείες Kingminer που παρατηρήθηκαν από τη Sophos, οι χειριστές χρησιμοποίησαν ένα EternalBlue spreader, αν και η παράδοση του script δεν κατέληξε σε επιτυχημένη εκμετάλλευση.
Από τότε που διέρρευσε από την ομάδα hacker Shadow Brokers τον Απρίλιο του 2017, το EternalBlue χρησιμοποιείται συχνά σε επιθέσεις. Η αμερικανική κυβέρνηση το κατατάσσει στο top 10 των ελαττωμάτων που έχουν αξιοποιηθεί τα τελευταία χρόνια.
Η Sophos λέει ότι το EternalBlue script που χρησιμοποιείται από το Kingminer είναι σχεδόν πανομοιότυπο με αυτό που χρησιμοποιείται από το Powerghost / Wannaminer, ένα άλλο botnet κρυπτογράφησης.
Ένα component του malware είναι ένα VBScript που ελέγχει εάν ο μολυσμένος κεντρικός υπολογιστής εκτελεί μια έκδοση των Windows που είναι ευάλωτη στο ελάττωμα εκτέλεσης απομακρυσμένου κώδικα BlueKeep (CVE-2019-0708) στο πρωτόκολλο RDP της Microsoft: Windows XP, Windows Vista και Windows 7 σε Windows Server 2003 και Windows Server 2008.
Ελλείψει μιας επείγουσας επιδιόρθωσης για το BlueKeep, το Kingminer απενεργοποιεί το Remote Desktop Protocol, πιθανότατα για να απενεργοποιήσει τα συστήματα από άλλα botnets κρυπτογράφησης.
Τα botnets με BlueKeep scanners δεν είναι καινούργια. Φαίνεται πως το Kingminer πήρε μια σελίδα από το Watchbog cryptominer, του οποίου οι χειριστές πρόσθεσαν το component τον Ιούλιο του περασμένου έτους.
Η Sophos διαπίστωσε ότι ο Kingminer μεταγλωττίζει τους miners σε DLL που φορτώνονται από ένα καλοήθη εκτελέσιμο υπογεγραμμένο με νόμιμο πιστοποιητικό.
Η αναφορά της Sophos εμβαθύνει βαθιά στις τεχνικές λεπτομέρειες πίσω από το botnet του Kingminer για εξόρυξη κρυπτονομισμάτων. Η εκτίμηση των ερευνητών είναι ότι πρόκειται για μια μεσαίου μεγέθους εγκληματική επιχείρηση, αρκετά δημιουργική για την κατασκευή προσαρμοσμένων λύσεων ξεκινώντας από έργα ανοιχτού κώδικα.
