MrbMiner

MrbMiner Beschrijving

Een nieuwe aanvalscampagne die cryptomining-malware levert aan Microsoft SQL Servers (MSSQL), is aan het licht gekomen. De onderzoekers ontdekten de activiteiten van een voorheen onbekende hackergroep van de cybersecurity-divisie van het Chinese megabedrijf Tencent. Ze noemden de hackers MrbMiner,   de naam van een van de domeinen die worden gebruikt om de malware te hosten. Volgens de bevindingen van de onderzoekers zijn er al duizenden MSSQL-servers gecompromitteerd.

De aanval begint met het scannen van de hackers naar MSSQL-servers en vervolgens met brute kracht hun weg naar binnen door talloze zwakke wachtwoorden te proberen tegen de inloggegevens van de server. Als dit lukt, wordt de infectie geïnitieerd door eerst een bestand met de naam ' assm.exe. 'De malware bereikt persistentie en creëert tegelijkertijd een gateway voor de hackers door een achterdeuraccount in te stellen met' Default 'als gebruikersnaam en' @ fg125kjnhn987 'als wachtwoord.

Het doel van de hele campagne is om cryptomining-malware te leveren die de bronnen van het systeem exploiteert om Monero-munten (XMR) te genereren. Door de cryptocurrency-portemonnee voor de MSSQL-malwarevariant te volgen, kwamen de onderzoekers erachter dat deze ongeveer 7 XMR-munten of ongeveer $ 630 bevatte. De MrbMiner-groep zou echter meerdere verschillende wallets kunnen gebruiken, wat gebruikelijk is bij cryptomining-botnetaanvallen. Bovendien werden op de Command-and-Control (C2) -server nog twee varianten van de malware ontdekt: de ene is ontworpen om op Linux-servers te werken en de andere is gericht op ARM-gebaseerde computersystemen. De Linux-malware wordt actief ingezet omdat het portefeuilleadres ervoor al ongeveer 3.30 Monero-munten had ontvangen.