MrbMiner zlonamerna koda, ki napada MSSQL strežnik

Za novejšo kripto-rudarsko zlonamerno kodo – MrbMiner, ki se je lani pojavila in okužila na tisoče baz Microsoft SQL strežnikov (MSSQL), so sedaj raziskovalci podjetja za kibernetsko varnost Sophos ugotovili, da je povezana z majhnim podjetjem za razvoj programske opreme s sedežem v Iranu.

MrbMiner je septembra lani prvič dokumentiral kitajski tehnološki gigant Tencent. Napada strežnike MSSQL s ciljem namestitve kriptominerja, ki ugrabi in izkoristi procesorsko moč sistemov za rudarjenje kriptovalute Monero in usmerjanje v račune, ki jih nadzorujejo napadalci.

»Operacije MrbMinerja so v mnogih pogledih značilne za večino napadov na kriptominerje, ki smo jih videli, in ciljajo na strežnike povezane s svetovnim spletom,« je povedal Gabor Szappanos iz SophosLabs.

»Razlika je v tem, da se napadalec ni menil za previdnost, ko je šlo za prikrivanje identitete. Številni zapisi, ki se nanašajo na nastavitev rudarjenja, njegove domene in naslove IP, kažejo do ene same izvorne točke – majhnega podjetja s sedežem v Iranu,« še dodaja.

MrbMiner se svoje naloge loti z izvajanjem napada z grobo silo (brute force) na skrbniški račun MSSQL strežnika z uporabo različnih kombinacij šibkih gesel.

Po pridobitvi dostopa do MSSQL strežnika se prenese trojanski program imenovan ‘assm.exe’, ki vzpostavi stalnost, doda račun za nadaljnji dostop (uporabniško ime: Privzeto, geslo: @ fg125kjnhn987) in naloži koristno vsebino (payload) rudarja kriptovalut Monero (XMR), ki se izvaja na ciljnem strežniku.

Po mnenju Sophosa je bila koristna vsebina v obliki namerno različno poimenovanih ZIP datotek, kot so sys.dll, agentx.dll in hostx.dll, ki so med drugim vsebovale binarno datoteko samega rudarja ter konfiguracijsko datoteko.

MrbMiner tiha in nevidna grožnja

Napad s kripto-rudarsko zlonamerno kodo je običajno težko komu pripisati glede na njihovo anonimnost, toda pri MrbMinerju se zdi, da so napadalci naredili napako, ko so v prenosnik kodirali lokacijo koristnega tovora ter naslov ukaza in nadzora (C2).

Preberite kako se zaščititi pred zlonamerno kodo >>