HACKING

MrbMiner malware: Έχει μολύνει χιλιάδες MSSQL βάσεις δεδομένων

This post was originally published on this site

Ερευνητές ασφαλείας ανακάλυψαν ένα νέο malware (το ονόμασαν MrbMiner) που στοχεύει MSSQL servers και εγκαθιστά cryptominer.

MrbMiner malware MSSQL servers
MrbMiner malware: Έχει μολύνει χιλιάδες MSSQL servers με cryptominer

Μια νέα συμμορία διανομής malware είναι ιδιαίτερα δραστήρια τους τελευταίους μήνες και έχει καταφέρει να παραβιάσει χιλιάδες Microsoft SQL Servers (MSSQL) και να εγκαταστήσει ένα cryptominer. Σύμφωνα με τους ερευνητές της κινεζικής εταιρείας Tencent, χιλιάδες βάσεις δεδομένων MSSQL έχουν μολυνθεί με το cryptominer.

Στις αρχές του μήνα, η Tencent δημοσίευσε μια έκθεση στην οποία μιλούσε για την εν λόγω malware συμμορία. Οι ερευνητές ονόμασαν τους hackers MrbMiner, δανειζόμενοι το όνομα των domains, που χρησιμοποιούσαν οι εγκληματίες για να φιλοξενήσουν το κακόβουλο λογισμικό τους.

Σύμφωνα με τους ερευνητές, για την εξάπλωση του botnet, έγινε σάρωση στο Διαδίκτυο για ευάλωτους MSSQL servers. Στη συνέχεια, γίνονταν brute-force επιθέσεις με στόχο την απόκτηση πρόσβασης στο λογαριασμό του διαχειριστή.

Μετά την αρχική είσοδο στο σύστημα, οι hackers κατέβαζαν ένα assm.exe file, το οποίο χρησιμοποιούσαν για να δημιουργήσουν έναν “(re)boot persistence μηχανισμό” και να προσθέσουν ένα backdoor account για μελλοντική πρόσβαση. Σύμφωνα με τους ερευνητές, αυτό το account έχει το όνομα χρήστη “Default” και κωδικό πρόσβασης το “@ fg125kjnhn987.”

Η διαδικασία μόλυνσης ολοκληρώνεται με τη σύνδεση στον command and control server και τη λήψη μιας crypto-miner εφαρμογής που κλέβει Monero (XMR), χρησιμοποιώντας παράνομα server resources και δημιουργώντας νομίσματα XMR σε λογαριασμούς που ελέγχονται από τους hackers.

cryptominer
MrbMiner malware: Έχει μολύνει χιλιάδες MSSQL servers με cryptominer

Οι ερευνητές ανακάλυψαν ότι το malware μπορούσε να στοχεύσει και Linux και ARM

Οι ερευνητές της Tencent Security είπαν ότι προς το παρόν έχουν δει να μολύνονται μόνο MSSQL βάσεις δεδομένων. Ωστόσο, ανακάλυψαν ότι ο MrbMiner C&C server περιείχε εκδόσεις του κακόβουλου λογισμικού που δημιουργήθηκαν για να στοχεύσουν Linux servers και ARM-based συστήματα.

Η ανάλυση της Linux έκδοσης έδειξε ότι υπήρχε ένα πορτοφόλι Monero με cryptocurrencies. Η διεύθυνση περιείχε 3,38 XMR (~ $ 300). Αυτό σημαίνει ότι η συμμορία MrbMiner έχει στοχεύσει και Linux συστήματα και έχει κλέψει χρήματα, παρόλο που οι ερευνητές δεν έχουν βρει ακόμα περισσότερες πληροφορίες γι’ αυτές τις επιθέσεις.

Όπως διαβάσαμε και στο ZDNet, το πορτοφόλι Monero που χρησιμοποιήθηκε για την έκδοση MbrMiner που στόχευε MSSQL servers είχε αποθηκευμένα 7 XMR (~ 630 $). Θα μπορούσε κάποιος να πει ότι αυτά τα ποσά είναι πολύ μικρά. Ωστόσο, δεν ξέρουμε αν αντιπροσωπεύουν το συνολικό ποσό που έχουν κλέψει οι hackers, καθώς οι crypto-mining συμμορίες χρησιμοποιούν πολλές διαφορετικές διευθύνσεις (πορτοφόλια).

Προς το παρόν, οι διαχειριστές συστημάτων πρέπει να σαρώσουν τις MSSQL βάσεις δεδομένων τους για να ελέγξουν αν υπάρχει το backdoor account με credentials: Default / @ fg125kjnhn987. Αν εντοπίσουν κάτι τέτοιο, πρέπει να κάνουν άμεσα έλεγχο σε όλο το δίκτυο.

The post MrbMiner malware: Έχει μολύνει χιλιάδες MSSQL βάσεις δεδομένων appeared first on SecNews.gr.

https://www.secnews.gr/



%d bloggers like this: