За даними компанії Sophos, що працює у сфері комп’ютерної безпеки, масштабний ботнет Kingminer почав атакувати сервери баз даних SQL для установки вірусу-майнера.
У звіті компанія повідомляє, що спочатку ботнет намагається підібрати ім’я користувача і пароль для входу на SQL-сервер і використовує уразливість EternalBlue для отримання доступу. Після цього з допомогою вразливостей CVE-2017-0213
або CVE-2019-0803
вірус намагається отримати права адміністратора. За допомогою SQL-скриптів ботнет викачує всі необхідні компоненти вірусу і встановлює відомий майнер XMRig для видобутку анонімної кріптовалюти Monero.
Для розміщення компонентів вірусу хакери використовують як власні сервери, де зберігають самі шкідливі компоненти, так і публічні сервіси, наприклад, Github. У публічних репозиторії зберігаються компоненти, які можуть використовуватися для різних цілей, тому відповідають політиці сервісів.
Цікаво, що якщо сервер схильний уразливості EternalBlue, то після зараження вірус відключає вразливу служби віддалених робочих столів (RDP), щоб інші ботнети не змогли отримати доступ до сервера.
Майнеры XMRig на заражених серверах налаштовані на підключення до двох майнинговым пулам: 95.179.131.54 і w1.homewrt.com. На жаль фахівці Sophos не повідомляють про те, скільки серверів було заражено в ході атаки.
В кінці травня компанія Red Canary виявила
масове зараження корпоративних серверів новим вірусом-майнером, створеним групою Blue Mockingbird. Він також використовував майнер XMRig для видобутку Monero.
Thanks!
Our editors are notified.