MrbMiner

MrbMiner Opis

Ujawniono nową kampanię ataku polegającą na dostarczaniu szkodliwego oprogramowania do wydobywania kryptowalut na serwery Microsoft SQL (MSSQL). Naukowcy odkryli działalność nieznanej wcześniej grupy hakerów z działu cyberbezpieczeństwa chińskiej megakorporacji Tencent. Nazwali hakerów MrbMiner,   nazwa jednej z domen używanych do hostowania złośliwego oprogramowania. Według ustaleń badaczy tysiące serwerów MSSQL zostało już naruszonych.

Atak rozpoczyna się od skanowania przez hakerów w poszukiwaniu serwerów MSSQL, a następnie brutalnego wtargnięcia do środka, próbując wielu słabych haseł przeciwko poświadczeniom serwera. Jeśli się powiedzie, infekcja jest inicjowana przez upuszczenie najpierw pliku o nazwie „ assm.exe . „Złośliwe oprogramowanie osiąga trwałość, a jednocześnie ustanawia bramę dla hakerów, zakładając konto typu backdoor z„ Default ”jako nazwą użytkownika i„ @ fg125kjnhn987 ”jako hasłem.

Cała kampania ma na celu dostarczenie szkodliwego oprogramowania do kopania kryptowalut, które wykorzystuje zasoby systemu do generowania monet Monero (XMR). Śledząc portfel kryptowalut pod kątem wariantu złośliwego oprogramowania MSSQL, naukowcy odkryli, że zawierał on około 7 monet XMR, czyli około 630 dolarów. Jednak grupa MrbMiner mogłaby używać wielu różnych portfeli, co jest typową praktyką w atakach botnetów polegających na wydobywaniu kryptowalut. Co więcej, na serwerze Command-and-Control (C2) wykryto dwa kolejne warianty szkodliwego oprogramowania - jeden przeznaczony do pracy na serwerach Linux, a drugi atakujący systemy komputerowe oparte na architekturze ARM. Szkodliwe oprogramowanie dla systemu Linux jest aktywnie wdrażane, ponieważ adres jego portfela miał już około 3,30 monet Monero wysłanych do niego.