En ny farlig angrebskampagne er blevet opdaget af sikkerhedsforskere, der er involveret i distributionen af MrbMiner-malware, der er programmeret til at inficere MSSQL-databaser. De er en del af virksomheds- og virksomhedswebsteder og bruges til at indeholde følsomme oplysninger og vigtige webstedsværdier. Angrebens art og det faktum, at mange portaler er blevet kompromitteret, viser, at hackegruppen bag det muligvis er meget erfaren.
MrbMiner Malware levereret mod MSSQL-databaser
MSSQL-databaser ser ud til at blive angrebet af en ny ødelæggende angrebskampagne. Denne gang er det en farlig malware kaldet MrbMiner som er udtænkt af en erfaren hacking-gruppe. På nuværende tidspunkt er der ingen oplysninger tilgængelige om identiteten på de kriminelle bag den. Navnet blev givet til virussen efter et af domænenavnene, der blev registreret for at sprede det.
Angrebene ved hjælp af en botnet tilgang — adskillige computere og hackede værter har til opgave at automatisk identificere tilgængelige databaseservere på et givet netværk. Hvis sådan findes, vil et automatisk script blive påberåbt, som vil forsøge at udnytte forskellige sikkerhedsudnyttelser. Den vigtigste anvendte teknik er brute force forsøg der bruger en ordbog eller algoritmebaserede lister over brugernavne og adgangskoder til de administrative brugere.
Så snart MrbMiner Malware er implementeret på en given computer a forudindstillet eksekveringssekvens vil starte. Den første handling i den aktuelle version er at downloade en assm.exe-fil fra en ekstern server. Det vil forberede miljøet ved at indføre en vedholdende installation. Virusfilerne startes hver gang computeren tændes. Desuden, det kan blokere adgang til gendannelsesstartindstillingerne, hvilket vil gøre det meget vanskeligt at følge de fleste manuelle brugerfjerningsvejledninger.
Ifølge forskningsrapporter angrebene er i øjeblikket justeret og vil sandsynligvis ændre sig i den nærmeste fremtid. De er især nyttige til spredning af farlig malware som f.eks Qbot Trojan.
Yderligere MrbMiner Malware-kapaciteter
Et yderligere trin er installationen af en Trojan-modul. Det bruges til at opretholde en forbindelse til den hackerstyrede server. Det bruges til at overtage kontrollen med systemerne og stjæle eventuelle filer og data fra de hackede værter. Normalt, databaseservere er bygget på toppen af enterprise-grade og performance-optimerede servere. Af denne grund, hackerne bag den igangværende kampagne har besluttet at gennemføre en anden farlig handling - at implementere en kryptokurrency minearbejder. Dette er et script konfigureret til at downloade flere præstationsintensive komplekse opgaver til de inficerede servere. De kører automatisk, hvilket vil have en lammende effekt på systemernes brugbarhed. For hvert rapporterede og afsluttede job modtager hackerne kryptovalutaaktiver som en belønning.
Kodeanalysen af de indsamlede prøver viser, at virussen krydssamles for at være kompatibel med Linux-systemer og ARM-arkitekturen. Dette betyder, at malware også kan køre på enheder, der bruges i IoT-miljøer, produktionsfaciliteter osv.
Dette får os også til at tro, at hacking-gruppen muligvis forfølger et meget større angreb i den nærmeste fremtid. Denne kendsgerning fik analytikerne til at fortsætte med at se, og de opdagede, at de malware-midler, der blev genereret af minerydningsmodulet, blev videresendt til en Monero-tegnebog. De transaktioner, der er sendt til den, beløber sig i øjeblikket til ca. 300 USD. Dette antyder, at Linux-angrebene for nylig er startet.
I øjeblikket for de fleste af angrebene, forskerne bemærker, at der er en måde at finde ud af, om din MSSQL er blevet påvirket. Systemadministratorer kan søge efter tilstedeværelsen af en bagdørkonto med navnet på Standard / @ fg125kjnhn987.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: