MrbMiner

MrbMiner Popis

Na světlo byla uvedena nová útočná kampaň poskytující kryptoměnující malware na servery Microsoft SQL (MSSQL). Vědci objevili aktivity dříve neznámé hackerské skupiny z divize kybernetické bezpečnosti čínské megakorporace Tencent. Dabovali hackerům MrbMiner,   název jedné z domén používaných k hostování malwaru. Podle zjištění vědců již byly kompromitovány tisíce serverů MSSQL.

Útok začíná tím, že hackeři prohledají servery MSSQL a poté si hrubě vnucují cestu zkoušením mnoha slabých hesel proti pověření serveru. Pokud je úspěšná, infekce se iniciuje tak, že nejprve umístíte soubor s názvem ' assm.exe. „Malware dosahuje vytrvalosti a zároveň vytváří bránu pro hackery nastavením účtu backdoor s uživatelským jménem Default “a„ @ fg125kjnhn987 “jako heslo.

Cílem celé kampaně je dodat malware pro těžbu kryptoměn, který využívá zdroje systému ke generování mincí Monero (XMR). Sledováním kryptoměnové peněženky pro variantu malwaru MSSQL vědci zjistili, že obsahuje přibližně 7 mincí XMR nebo přibližně 630 USD. Skupina MrbMiner by však mohla používat více různých peněženek, což je obvyklá praxe při kryptoměnování botnetových útoků. Kromě toho byly na serveru Command-and-Control (C2) objeveny další dvě varianty malwaru - jedna navržená pro práci na serverech Linux, zatímco druhá se zaměřuje na počítačové systémy založené na ARM. Malwarový systém Linux se aktivně nasazuje, protože na adresu peněženky již bylo zasláno přibližně 3,30 mince Monero.