بدافزار جدید MrbMiner هزاران پایگاه داده MSSQL را آلوده کرده است.
منبع : مرکز مدیریت راهبردی افتا
بدافزار جدید MrbMiner هزاران پایگاه داده MSSQL را آلوده کرده است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک گروه هکری، با حمله به سرورهای MSSQL که دارای گذرواژههای ضعیف هستند اقدام به نصب بدافزارهای رمزنگاری میکنند.
در چندماه گذشته یک باند بدافزاری جدید با عنوان MrbMiner با نفوذ به سرورهای (Microsoft SQL (MSSQL و نصب Crypto-miner شهرتی جهانی کسب کردهاند.
نام این باند بدافزار جدید را MrbMiner است و بر اساس اطلاعات امنیت سایبری Tencent، تاکنون هزاران پایگاه داده MSSQL آلوده شدهاند.
در گزارش منتشر شده توسط Tencent Security که اوایل ماه جاری منتشر شد، botnet به طور انحصاری با پویش اینترنت برای سرورهای MSSQL گسترش پیدا کرده است و سپس حملات brute-force را با تلاش پی در پی به حسابهای ادمین با حمله به سرورهایی که دارای گذرواژههای ضعیف هستند، بدافزارهای رمزنگاری را نصب کرده است.
پس از دسترسی، آنها یک فایل اولیه assm.exe را دانلود میکنند که از آن برای ایجاد یک مکانیسم ماندگار بوت (دوباره) و افزودن یک حساب backdoor برای دسترسیهای آتی استفاده میشود. این حساب از نام کاربری «پیشفرض» و رمز عبور «@ fg۱۲۵kjnhn۹۸۷» استفاده میکند.
آخرین مرحله از فرایند آلودگی، ایجاد اتصال به سرور فرمان و کنترل و دانلود برنامهای بود که با سوءاستفاده از منابع سرور محلی و تولید سکههای XMR به حسابهای کنترل شده توسط مهاجمان، رمز ارز Monero (XMR) را استخراج میکند.
در حالی که به نظر میرسید فقط آلودگیها در سرورهای MSSQL وجود دارد، سرور Mr&Miner C&C نیزحاوی نسخههایی از بدافزارهای این گروه بود که برای هدف قرار دادن سرورهای Linux و سیستمهای مبتنی بر ARM نوشته شده است.
پس از تجزیهوتحلیل نسخه لینوکس بدافزار MrbMiner، کارشناسان Tencent اعلام کردند که آنها یک کیف پول Monero را شناسایی کردهاند که در آن بدافزار fund تولید میکرده است.
آدرس حاوی SMR (~$۳۰۰)۳,۳۸ دلار بود، که نشان میدهد در نسخههای لینوکس نیز به طور فعال توزیع میشوند، اگرچه جزئیات مربوط به این حملات فعلاً ناشناخته مانده است.
کیف پول Monero که برای نسخه MbrMiner برای سرورهای MSSQL استفاده شده،۷XMR ~ ۶۳۰دلار ذخیره کرده است. در حالی که مجموع این مبالغ اندک است، باندهای استخراج رمزنگاری از چندین کیف پول برای عملیات خود استفاده میکنند و این گروه به احتمال زیاد سود بسیار بیشتری کسب کرده است. در حال حاضر، کاری که ادمین سیستم باید انجام دهند این است که سرورهای MSSQL خود را برای اطمینان از حضور حساب Backdoor Default / @ fg۱۲۵kjnhn۹۸۷ اسکن کنند. اگر چنین حسابی یافت شد، بررسی کامل شبکه توصیه میشود.