MrbMiner

MrbMiner Beskrivelse

En ny angrebskampagne, der leverer malware til kryptomining til Microsoft SQL-servere (MSSQL), er bragt i lyset. Forskerne opdagede aktiviteterne i en tidligere ukendt hackergruppe fra cybersikkerhedsafdelingen i det kinesiske megafirma Tencent. De kaldte hackerne MrbMiner,   navnet på et af de domæner, der bruges til at være vært for malware. Ifølge forskernes resultater er tusinder af MSSQL-servere allerede blevet kompromitteret.

Angrebet begynder med, at hackere scanner efter MSSQL-servere og derefter tvinger deres vej ind ved at prøve adskillige svage adgangskoder mod serverens legitimationsoplysninger. Hvis det lykkes, startes infektionen ved først at droppe en fil med navnet ' assm.exe. 'Malwaren opnår vedholdenhed, samtidig med at der oprettes en gateway for hackerne ved at oprette en bagdørkonto med' Standard 'som brugernavn og' @ fg125kjnhn987 'som adgangskode.

Hele kampagnens mål er at levere crypto-mining malware, der udnytter systemets ressourcer til at generere Monero mønter (XMR). Ved at spore kryptovaluta-tegnebogen til MSSQL-malware-varianten fandt forskerne ud af, at den indeholdt omkring 7 XMR-mønter eller omkring $ 630. MrbMiner-gruppen kunne dog bruge flere forskellige tegnebøger, hvilket er den sædvanlige praksis i kryptomining af botnetangreb. Desuden blev der på Command-and-Control (C2) -serveren opdaget yderligere to varianter af malware - en designet til at arbejde på Linux-servere, mens den anden er målrettet mod ARM-baserede computersystemer. Linux-malware implementeres aktivt, da tegnebogadressen til den allerede havde sendt omkring 3.30 Monero-mønter til den.