MrbMiner
Karta wyników zagrożenia
Karta wyników zagrożeń EnigmaSoft
EnigmaSoft Threat Scorecards to raporty oceniające różne zagrożenia złośliwym oprogramowaniem, które zostały zebrane i przeanalizowane przez nasz zespół badawczy. EnigmaSoft Threat Scorecards ocenia i klasyfikuje zagrożenia przy użyciu kilku wskaźników, w tym rzeczywistych i potencjalnych czynników ryzyka, trendów, częstotliwości, rozpowszechnienia i trwałości. Karty oceny zagrożeń EnigmaSoft są regularnie aktualizowane na podstawie danych i wskaźników naszych badań i są przydatne dla szerokiego grona użytkowników komputerów, od użytkowników końcowych poszukujących rozwiązań do usuwania złośliwego oprogramowania ze swoich systemów po ekspertów ds. bezpieczeństwa analizujących zagrożenia.
Karty wyników zagrożeń EnigmaSoft wyświetlają wiele przydatnych informacji, w tym:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Poziom ważności: Określony poziom ważności obiektu, przedstawiony liczbowo, na podstawie naszego procesu modelowania ryzyka i badań, jak wyjaśniono w naszych Kryteriach oceny zagrożeń .
Zainfekowane komputery: liczba potwierdzonych i podejrzewanych przypadków określonego zagrożenia wykrytych na zainfekowanych komputerach według danych SpyHunter.
Zobacz także Kryteria oceny zagrożeń .
| Poziom zagrożenia: | 80 % (Wysoka) |
| Zainfekowane komputery: | 324 |
| Pierwszy widziany: | January 19, 2011 |
| Ostatnio widziany: | May 9, 2025 |
| Systemy operacyjne, których dotyczy problem: | Windows |
Ujawniono nową kampanię ataku polegającą na dostarczaniu szkodliwego oprogramowania do wydobywania kryptowalut na serwery Microsoft SQL (MSSQL). Naukowcy odkryli działalność nieznanej wcześniej grupy hakerów z działu cyberbezpieczeństwa chińskiej megakorporacji Tencent. Nazwali hakerów MrbMiner, nazwa jednej z domen używanych do hostowania złośliwego oprogramowania. Według ustaleń badaczy tysiące serwerów MSSQL zostało już naruszonych.
Atak rozpoczyna się od skanowania przez hakerów w poszukiwaniu serwerów MSSQL, a następnie brutalnego wtargnięcia do środka, próbując wielu słabych haseł przeciwko poświadczeniom serwera. Jeśli się powiedzie, infekcja jest inicjowana przez upuszczenie najpierw pliku o nazwie „ assm.exe ” . „Złośliwe oprogramowanie osiąga trwałość, a jednocześnie ustanawia bramę dla hakerów, zakładając konto typu backdoor z„ Default ”jako nazwą użytkownika i„ @ fg125kjnhn987 ”jako hasłem.
Cała kampania ma na celu dostarczenie szkodliwego oprogramowania do kopania kryptowalut, które wykorzystuje zasoby systemu do generowania monet Monero (XMR). Śledząc portfel kryptowalut pod kątem wariantu złośliwego oprogramowania MSSQL, naukowcy odkryli, że zawierał on około 7 monet XMR, czyli około 630 dolarów. Jednak grupa MrbMiner mogłaby używać wielu różnych portfeli, co jest typową praktyką w atakach botnetów polegających na wydobywaniu kryptowalut. Co więcej, na serwerze Command-and-Control (C2) wykryto dwa kolejne warianty szkodliwego oprogramowania - jeden przeznaczony do pracy na serwerach Linux, a drugi atakujący systemy komputerowe oparte na architekturze ARM. Szkodliwe oprogramowanie dla systemu Linux jest aktywnie wdrażane, ponieważ adres jego portfela miał już około 3,30 monet Monero wysłanych do niego.
