جمعه ۱۰ فروردين ۱۴۰۳ , 29 Mar 2024
جالب است ۰
بدافزار جدید MrbMiner هزاران پایگاه داده MSSQL را آلوده کرده است.
منبع : مرکز مدیریت راهبردی افتا
بدافزار جدید MrbMiner هزاران پایگاه داده MSSQL را آلوده کرده است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک گروه هکری، با حمله به سرورهای MSSQL که دارای گذرواژه‌های ضعیف هستند اقدام به نصب بدافزارهای رمزنگاری می‌‎کنند.

در چندماه گذشته یک باند بدافزاری جدید با عنوان MrbMiner با نفوذ به سرورهای (Microsoft SQL (MSSQL و نصب Crypto-miner شهرتی جهانی کسب کرده‌اند.

نام این باند بدافزار جدید را MrbMiner است و بر اساس اطلاعات امنیت سایبری Tencent، تاکنون هزاران پایگاه داده MSSQL آلوده شده‌اند.

در گزارش منتشر شده توسط Tencent Security که اوایل ماه جاری منتشر شد، botnet به طور انحصاری با پویش اینترنت برای سرورهای MSSQL گسترش پیدا کرده است و سپس حملات brute-force را با تلاش پی در پی به حساب‌های ادمین با حمله به سرورهایی که دارای گذرواژه‌های ضعیف هستند، بدافزارهای رمزنگاری را نصب کرده است.

پس از دسترسی، آن‌ها یک فایل اولیه assm.exe را دانلود می‌کنند که از آن برای ایجاد یک مکانیسم ماندگار بوت (دوباره) و افزودن یک حساب backdoor برای دسترسی‌های آتی استفاده می‌شود. این حساب از نام کاربری «پیش‌فرض» و رمز عبور «@ fg۱۲۵kjnhn۹۸۷» استفاده می‌کند.

آخرین مرحله از فرایند آلودگی، ایجاد اتصال به سرور فرمان و کنترل و دانلود برنامه‌ای بود که با سوءاستفاده از منابع سرور محلی و تولید سکه‌های XMR به حساب‌های کنترل شده توسط مهاجمان، رمز ارز Monero (XMR) را استخراج می‌کند.

در حالی که به نظر می‌رسید فقط آلودگی‌ها در سرورهای MSSQL وجود دارد، سرور Mr&Miner C&C نیزحاوی نسخه‌هایی از بدافزارهای این گروه بود که برای هدف قرار دادن سرورهای Linux و سیستم‌های مبتنی بر ARM نوشته شده است.

پس از تجزیه‌وتحلیل نسخه لینوکس بدافزار MrbMiner، کارشناسان Tencent اعلام کردند که آنها یک کیف پول Monero را شناسایی کرده‌اند که در آن بدافزار fund تولید می‌کرده است.

آدرس حاوی SMR (~$۳۰۰)۳,۳۸ دلار بود، که نشان می‌دهد در نسخه‌های لینوکس نیز به طور فعال توزیع می‌شوند، اگرچه جزئیات مربوط به این حملات فعلاً ناشناخته مانده است.

کیف پول Monero که برای نسخه MbrMiner برای سرورهای MSSQL استفاده شده،۷XMR ~ ۶۳۰دلار ذخیره کرده است. در حالی که مجموع این مبالغ اندک است، باندهای استخراج رمزنگاری از چندین کیف پول برای عملیات خود استفاده می‌کنند و این گروه به احتمال زیاد سود بسیار بیشتری کسب کرده است.
در حال حاضر، کاری که ادمین سیستم باید انجام دهند این است که سرورهای MSSQL خود را برای اطمینان از حضور حساب Backdoor Default / @ fg۱۲۵kjnhn۹۸۷ اسکن کنند. اگر چنین حسابی یافت شد، بررسی کامل شبکه توصیه می‎‌شود.
کد مطلب : 17030
https://aftana.ir/vdcawwn6.49n0e15kk4.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی