
پژوهشگران CheckPoint تهدید جدیدی با نام KingMiner را کشف کردند که سرورهای SQL و Microsoft IIS را هدف قرار میدهد و با سوء استفاده از آنها ارز دیجیتالی استخراج میکند.
KingMiner مبتنی بر XMRig است تا ارز Monero استخراج کند. به گزارش پژوهشگران، کاوشگر به گونهای پیکربندی شده است که تا ۷۵ درصد از منابع پردازنده را مصرف کند، اما در عمل ۱۰۰ درصد آنرا مصرف میکند که بنظر میرسد به دلیل وجود باگ در کد آن باشد.
بدافزار از تکنیکهایی برای جلوگیری از شناسایی توسط نرمافزارها و محیطهای امنیتی استفاده میکند. طی ماههای ژوئن تا اکتبر، بدافزار بهبود یافته است و از بدنه مبهمسازی شده و یک فایل پیکربندی ویرایش شده برای کاوش ارز استفاده میکند. اطلاعات Checkpoint نشان میدهد که بدافزار کشورهای مختلفی را مورد هدف قرار داده است.
نشانههای آلودگی (IoC):
هشها (SHA۲۵۶):
• dea۳۲۴۳۳۵۱۹c۴۶۲۸deeac۸۰۲c۰f۱۴۳۵a۱b۰d۲۷d۸۹f۱ae۵c۱۷۲۹ec۷۲۲۳f۹eb۰۴d
• ۱۴۷d۵۷۲d۷f۶۶۶۴c۸adf۴۲ef۹۲e۴dbad۰۶c۵d۲۱cc۸۲۰a۲۰۱۶۳d۸۱۴c۷۷۱۳۶cfbab
• ۱۲۲b۷۹۰۶a۳۵۹deb۲۲bf۷۷۷c۶۰۲ac۲۶۱۹ca۵ea۱۵۶c۴۹۳۷dcdf۹۶۵۸۳۲۱۰۶۷۷db۵۲
• c۵۸۹۴d۲afc۹۴۶c۰۶۴f۸c۲b۵۸۷۹۱fe۶۴b۴۸e۲۶f۰da۵bdcc۶ef۹ba۱۴۷f۳۳۴f۴۳f۹
• e۶۱fbe۵۸c۲۸۷۲۰ac۴c۰a۱۸۲۲d۵da۹a۶۲۲a۲۴f۳۵۲d۳۴e۶c۱cf۵f۷۰۴dbdd۹b۹b۳۴
• ۲b۵۴۳۲۹a۱۳c۴f۷۹bea۳۸۸۶a۲۱a۷ba۵fe۱۹c۴۴۱۸۵۹۶b۷۷۴۸۹۳fdef۰۲۰e۰۳ed۰۷d
• f۱۲۸a۶۳c۱۰۷c۳۰۰۶ebf۴۴۸d۶ec۷۴۳d۱۱eb۴۹۱ecb۵۰۸e۴ce۶۳ba۰۸۴f۹۷۹۲c۲۵da
• ۷۳۵۷bdf۷۰d۰۴۲f۲۴۶de۱f۸۳۰de۷۸۳۴۹۹d۷۵e۶۱۳۸۸eed۹۳d۹ce۷۴۱۸۰ce۰۶۵۲۴d۰
• ۹۵۶a۱۲۳۱۷۲۶۵۰۳d۸۴۰۷۹۴af۶۱fb۶ac۹bc۳۲۶۲۹۶۵۹۷eff۱c۸da۶۳۶f۸۴e۳c۳۲۸۷۴
• ۸fa۸cdb۷۷۱d۷c۶۶۴۰۶a۷۱۱۶e۹c۰۹ed۱۸۰۳۰afb۱f۹۴۴۳۰c۸۰۷۷۸۲۲۷۴f۳۸۴۷cb۹۲
• a۳۵۹۸d۳۳۰۱۶۳۰ba۶۴aa۷۶۶۳۹۸۰۲۹۶b۵۹df۲۴۳f۵f۱۷ed۱b۴fd۵۶dcbcab۵۹۹۲۳۱c
منابع:
https://www.bleepingcomputer.com/news/security/new-kingminer-threat-shows-cryptominer-evolution
https://research.checkpoint.com/kingminer-the-new-and-improved-cryptojacker