MrbMiner

MrbMiner Opis

Na vidjelo je iznesena nova kampanja napada koja isporučuje kriptominirajući zlonamjerni softver na Microsoft SQL Servers (MSSQL). Istraživači su otkrili aktivnosti prethodno nepoznate hakerske skupine iz odjela za kibernetsku sigurnost kineske megakorporacije Tencent. Nazvali su hakere MrbMiner,   naziv jedne od domena koja se koristi za hostiranje zlonamjernog softvera. Prema nalazima istraživača, tisuće MSSQL poslužitelja već su ugrožene.

Napad započinje hakerima koji skeniraju MSSQL poslužitelje, a zatim se grubo forsiraju pokušavajući brojne slabe lozinke protiv vjerodajnica poslužitelja. Ako je uspješno, zaraza se započinje prvo ispuštanjem datoteke pod nazivom ' assm.exe. 'Zlonamjerni softver postiže postojanost, istovremeno uspostavljajući prolaz za hakere postavljanjem računala s backdoor-om s' Default 'kao korisničkim imenom i' @ fg125kjnhn987 'kao lozinkom.

Cilj cijele kampanje je isporučiti kripto-rudarski zlonamjerni softver koji iskorištava resurse sustava za generiranje Monero kovanica (XMR). Praćenjem novčanika za kriptovalute za varijantu zlonamjernog softvera MSSQL, istraživači su otkrili da sadrži oko 7 XMR kovanica ili oko 630 američkih dolara. Međutim, grupa MrbMiner mogla bi koristiti više različitih novčanika, što je uobičajena praksa u kriptominiranju botnet napada. Nadalje, na Command-and-Control (C2) poslužitelju otkrivene su još dvije inačice zlonamjernog softvera - jedna dizajnirana za rad na Linux poslužiteljima, dok je druga usmjerena na ARM-bazirane računalne sustave. Zlonamjerni softver Linux aktivno se koristi jer mu je na adresu novčanika već poslano oko 3,30 kovanica Monero.