MrbMiner

MrbMiner Kuvaus

Uusi hyökkäyskampanja, joka toimittaa kriittisen haittaohjelman Microsoft SQL Server -palvelimille (MSSQL), on paljastettu. Tutkijat löysivät aiemmin tuntemattoman hakkeriryhmän toiminnan kiinalaisen megayhtiön Tencentin kyberturvallisuusosastosta. He kopioivat hakkereita MrbMineriksi,   yhden haittaohjelman isännöimisessä käytetyn verkkotunnuksen nimi. Tutkijoiden havaintojen mukaan tuhannet MSSQL-palvelimet ovat jo vaarantuneet.

Hyökkäys alkaa hakkerista, jotka etsivät MSSQL-palvelimia ja pakottavat sen sitten raa'asti kokeilemalla lukuisia heikkoja salasanoja palvelimen tunnistetietoja vastaan. Jos se onnistuu, infektio aloitetaan pudottamalla ensin tiedosto nimeltä assm.exe. 'Haittaohjelma saavuttaa pysyvyyden ja luo samalla hakkereille yhdyskäytävän perustamalla takaoven tilin, jonka käyttäjätunnuksena on' Oletus 'ja salasanana ' @ fg125kjnhn987 '.

Koko kampanjan tavoitteena on toimittaa salauksen louhinta haittaohjelma, joka hyödyntää järjestelmän resursseja tuottamaan Monero-kolikoita (XMR). Seuraamalla MSSQL-haittaohjelmamuunnelman salausvaluutta-lompakkoa tutkijat havaitsivat, että se sisälsi noin 7 XMR-kolikkoa tai noin 630 dollaria. MrbMiner-ryhmä voisi kuitenkin käyttää useita erilaisia lompakoita, mikä on tavallista käytäntö botnet-hyökkäysten salauksen selvittämisessä. Lisäksi Command-and-Control (C2) -palvelimelta löydettiin kaksi muuta haittaohjelman muunnosta - yksi on suunniteltu toimimaan Linux-palvelimilla, kun taas toinen kohdistaa ARM-pohjaisiin tietokonejärjestelmiin. Linux-haittaohjelmaa käytetään aktiivisesti, koska sen lompakon osoitteeseen oli jo lähetetty noin 3,30 Monero-kolikkoa.