MrbMiner

MrbMiner Opis

Razkrita je bila nova kampanja napadov, ki na strežnike Microsoft SQL Server (MSSQL) prinaša šifrirano zlonamerno programsko opremo. Raziskovalci so odkrili dejavnosti prej neznane hekerske skupine iz oddelka za kibernetsko varnost kitajske mega korporacije Tencent. Hekerje so poimenovali MrbMiner,   ime ene od domen, ki se uporablja za gostovanje zlonamerne programske opreme. Po ugotovitvah raziskovalcev je že ogroženih na tisoče strežnikov MSSQL.

Napad se začne s hekerji, ki iščejo strežnike MSSQL, nato pa silijo s poskusi številnih šibkih gesel proti poverilnicam strežnika. Če je okužba uspešna, se sproži tako, da najprej spustite datoteko z imenom ' assm.exe. "Malware doseglo vztrajnost tudi za vzpostavitev portala za hekerji z vzpostavitvijo backdoor račun" kršitve ", kot svoje uporabniško ime in" @ fg125kjnhn987 "kot geslo.

Cilj celotne kampanje je zagotoviti zlonamerno programsko opremo za kripto rudarjenje, ki izkorišča vire sistema za ustvarjanje kovancev Monero (XMR). S sledenjem denarnici za kriptovalute za različico zlonamerne programske opreme MSSQL so raziskovalci ugotovili, da vsebuje okoli 7 kovancev XMR ali približno 630 dolarjev. Vendar pa bi skupina MrbMiner morda uporabljala več različnih denarnic, kar je običajna praksa pri šifriranju botnet napadov. Poleg tega sta bili na strežniku Command-and-Control (C2) odkriti še dve različici zlonamerne programske opreme - ena, zasnovana za delovanje na strežnikih Linux, druga pa je namenjena računalniškim sistemom, ki temeljijo na ARM. Zlonamerna programska oprema Linux se aktivno uporablja, saj je bil na naslov denarnice zanjo že poslanih okoli 3,30 kovancev Monero.