کاوشگر ارز KingMiner، سرورهای SQL و Microsoft IIS را هدف گرفتهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران CheckPoint تهدید جدیدی با نام KingMiner را کشف کردند که سرورهای SQL و Microsoft IIS را هدف قرار میدهد و با سوءاستفاده از آنها ارز دیجیتالی استخراج میکند.
کاوشگر KingMiner توسط حملات جستوجوی فراگیر (brute-force) به سرورهای SQL و IIS نفوذ میکند و سپس به منظور انجام عملیات کاوش ارز، معماری پردازنده سرور را بهدست میآورد.
KingMiner مبتنیبر XMRig است تا ارز Monero استخراج کند. به گزارش پژوهشگران، کاوشگر به گونهای پیکربندی شدهاست که تا ۷۵ درصد از منابع پردازنده را مصرف کند، اما در عمل ۱۰۰ درصد آن را مصرف میکند که بهنظر میرسد بهدلیل وجود باگ در کد آن باشد.
بدافزار از تکنیکهایی برای جلوگیری از شناسایی توسط نرمافزارها و محیطهای امنیتی استفادهمیکند. طی ماههای ژوئن تا اکتبر، بدافزار بهبود یافتهاست و از بدنه مبهمسازی شده و یک فایل پیکربندی ویرایششده برای کاوش ارز استفاده میکند. اطلاعات Checkpoint نشان میدهد که بدافزار کشورهای مختلفی را مورد هدف قرار دادهاست.
نشانههای آلودگی (IoC):
هشها (SHA۲۵۶):
• dea۳۲۴۳۳۵۱۹c۴۶۲۸deeac۸۰۲c۰f۱۴۳۵a۱b۰d۲۷d۸۹f۱ae۵c۱۷۲۹ec۷۲۲۳f۹eb۰۴d
• ۱۴۷d۵۷۲d۷f۶۶۶۴c۸adf۴۲ef۹۲e۴dbad۰۶c۵d۲۱cc۸۲۰a۲۰۱۶۳d۸۱۴c۷۷۱۳۶cfbab
• ۱۲۲b۷۹۰۶a۳۵۹deb۲۲bf۷۷۷c۶۰۲ac۲۶۱۹ca۵ea۱۵۶c۴۹۳۷dcdf۹۶۵۸۳۲۱۰۶۷۷db۵۲
• c۵۸۹۴d۲afc۹۴۶c۰۶۴f۸c۲b۵۸۷۹۱fe۶۴b۴۸e۲۶f۰da۵bdcc۶ef۹ba۱۴۷f۳۳۴f۴۳f۹
• e۶۱fbe۵۸c۲۸۷۲۰ac۴c۰a۱۸۲۲d۵da۹a۶۲۲a۲۴f۳۵۲d۳۴e۶c۱cf۵f۷۰۴dbdd۹b۹b۳۴
• ۲b۵۴۳۲۹a۱۳c۴f۷۹bea۳۸۸۶a۲۱a۷ba۵fe۱۹c۴۴۱۸۵۹۶b۷۷۴۸۹۳fdef۰۲۰e۰۳ed۰۷d
• f۱۲۸a۶۳c۱۰۷c۳۰۰۶ebf۴۴۸d۶ec۷۴۳d۱۱eb۴۹۱ecb۵۰۸e۴ce۶۳ba۰۸۴f۹۷۹۲c۲۵da
• ۷۳۵۷bdf۷۰d۰۴۲f۲۴۶de۱f۸۳۰de۷۸۳۴۹۹d۷۵e۶۱۳۸۸eed۹۳d۹ce۷۴۱۸۰ce۰۶۵۲۴d۰
• ۹۵۶a۱۲۳۱۷۲۶۵۰۳d۸۴۰۷۹۴af۶۱fb۶ac۹bc۳۲۶۲۹۶۵۹۷eff۱c۸da۶۳۶f۸۴e۳c۳۲۸۷۴
• ۸fa۸cdb۷۷۱d۷c۶۶۴۰۶a۷۱۱۶e۹c۰۹ed۱۸۰۳۰afb۱f۹۴۴۳۰c۸۰۷۷۸۲۲۷۴f۳۸۴۷cb۹۲
• a۳۵۹۸d۳۳۰۱۶۳۰ba۶۴aa۷۶۶۳۹۸۰۲۹۶b۵۹df۲۴۳f۵f۱۷ed۱b۴fd۵۶dcbcab۵۹۹۲۳۱c
دامنهها:
• http://q[.]۱۱۲adfdae.tk/
• http://a[.]۱b۰۵۱fdae.tk/
• http://a[.]۸۶۹d۴fdae.tk/
• http://a[.]qwerr.ga/