Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Операторы ботнета KingMiner взламывают базы данных MSSQL (http://txgate.io:443/showthread.php?t=16842)

Artifact 02-13-2025 11:56 AM

Преступники устанавливают майнер криптовалюты, использующий ресурсы сервера.
https://www.securitylab.ru/upload/ib...def05075ae.jpg
Специалисты из компании Sophos https://www.sophos.com/en-us/mediali...net-report.pdf о вредоносной кампании, в рамках которой операторы ботнета KingMiner с помощью брутфорса взламывают учетные записи администратора баз данных MSSQL. Как только преступники взламывают уязвимую MSSQL-систему, они создают другого пользователя с именем «dbhelp» и устанавливают майнер криптовалюты Monero, использующий ресурсы сервера.
Операторы KingMiner и раньше осуществляли атаки — в конце 2018 года и в июле 2019 года. Хотя большинство вредоносных ботнетов прекращают существование после нескольких недель или месяцев активности, KingMiner, по-видимому, принес мошенникам достаточно прибыли для продолжения атак.
Операторы KingMiner продолжают совершенствовать код вредоносной программы, периодически добавляя новые функции. К примеру, вредонос может эксплуатировать уязвимости (CVE-2017-0213 или https://www.securitylab.ru/vulnerability/498696.php) для повышения привилегий на системе и выполнения кода с правами администратора.
Операторы KingMiner добавили эту возможность с целью предотвратить сбои в его работе из-за решений безопасности или других ботнетов, которые могут заразить тот же сервер.
Кроме того, операторы KingMiner в настоящее время экспериментируют с эксплоитом EternalBlue, позволяющим злоумышленникам получить доступ к удаленным Windows-системам с помощью уязвимости в реализациях протокола Server Message Block (SMB). Хотя исправления были выпущены еще в 2017 году, не все компании применили их.
Как отметили специалисты, ботнет также способен загружать другие инструменты и вредоносные программы на зараженные серверы MSSQL. К ним относятся инструмент Mimikatz, троян для удаленного доступа Gh0st и бэкдор-троян Gates. Операторы KingMiner используют их для хищения паролей от других систем, к которым может быть подключен сервер базы данных.
По словам экспертов, одна из интересных особенностей кампании заключалась в том, что операторы KingMiner сканируют зараженную систему на предмет уязвимости BlueKeep в протоколе удаленного рабочего стола. Если система оказывается уязвимой, преступники отключали доступ RDP к базе данных, чтобы предотвратить взлом сервера другими вредоносами.


All times are GMT. The time now is 12:14 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.