Sicherheitsforscher, die an der Verbreitung der MrbMiner-Malware beteiligt sind, die zur Infektion von MSSQL-Datenbanken programmiert ist, haben eine neue Kampagne für gefährliche Angriffe entdeckt. Sie sind Teil von Unternehmens- und Unternehmenswebsites und enthalten vertrauliche Informationen und wichtige Standortwerte. Die Art der Angriffe und die Tatsache, dass viele Portale kompromittiert wurden, zeigt, dass die dahinter stehende Hacking-Gruppe möglicherweise sehr erfahren ist.
MrbMiner Malware wird gegen MSSQL-Datenbanken eingesetzt
MSSQL-Datenbanken scheinen von einer neuen verheerenden Angriffskampagne angegriffen zu werden. Diesmal handelt es sich um eine gefährliche Malware namens MrbMiner Das wird von einer erfahrenen Hacking-Gruppe entwickelt. Derzeit sind keine Informationen über die Identität der dahinter stehenden Kriminellen verfügbar. Der Name wurde dem Virus nach einem der Domainnamen gegeben, der registriert wurde, um ihn zu verbreiten.
Die Angriffe mit einem Botnet-Ansatz — Zahlreiche Computer und gehackte Hosts haben die Aufgabe, automatisch zugängliche Datenbankserver in einem bestimmten Netzwerk zu identifizieren. Wenn ein solches gefunden wird, wird ein automatisiertes Skript aufgerufen, das versucht, verschiedene Sicherheits-Exploits zu nutzen. Die Haupttechnik ist die Brute-Force-Versuche Dabei werden ein Wörterbuch oder algorithmische Listen mit Benutzernamen und Kennwörtern der Administratorbenutzer verwendet.
Sobald die MrbMiner-Malware auf einem bestimmten Computer bereitgestellt wird a voreingestellte Ausführungssequenz wird beginnen. Die erste Aktion in der aktuellen Version ist das Herunterladen von a assm.exe Datei von einem Remote-Server. Es wird die Umwelt vorbereiten, indem es a persistent Installation. Die Virendateien werden jedes Mal gestartet, wenn der Computer eingeschaltet wird. Außerdem, Es kann den Zugriff auf die Wiederherstellungsstartoptionen blockieren, was es sehr schwierig macht, die meisten manuellen Anleitungen zum Entfernen von Benutzern zu befolgen.
Entsprechend der Forschungsberichte Die Angriffe sind derzeit optimiert und werden sich wahrscheinlich in naher Zukunft ändern. Sie sind besonders nützlich, um gefährliche Malware wie die zu verbreiten Qbot-Trojaner.
Zusätzliche MrbMiner-Malware-Funktionen
Ein weiterer Schritt ist die Installation von a Trojan-Modul. Es wird verwendet, um eine Verbindung zum vom Hacker kontrollierten Server aufrechtzuerhalten. Es wird verwendet, um die Kontrolle über die Systeme zu übernehmen und alle Dateien und Daten von den gehackten Hosts zu stehlen. In der Regel, Datenbankserver basieren auf Servern für Unternehmen und für die Leistung optimierte Server. Aus diesem Grund, Die Hacker hinter der laufenden Kampagne haben beschlossen, eine weitere gefährliche Aktion durchzuführen - um Stellen Sie einen Cryptocurrency Miner bereit. Dies ist ein Skript, das zum Herunterladen mehrerer leistungsintensiver komplexer Aufgaben auf die infizierten Server konfiguriert ist. Sie werden automatisch ausgeführt, was sich negativ auf die Benutzerfreundlichkeit der Systeme auswirkt. Für jeden gemeldeten und abgeschlossenen Auftrag erhalten die Hacker als Belohnung Kryptowährungs-Assets.
Die Code-Analyse der gesammelten Beispiele zeigt, dass der Virus übergreifend kompiliert wurde, um mit Linux-Systemen und der ARM-Architektur kompatibel zu sein. Dies bedeutet, dass die Malware auch auf Geräten ausgeführt werden kann, die in IoT-Umgebungen verwendet werden, Produktionsanlagen und etc..
Dies lässt uns auch glauben, dass die Hacking-Gruppe in naher Zukunft einen viel größeren Angriff verfolgen könnte. Diese Tatsache veranlasste die Analysten, weiter zu suchen, und sie stellten fest, dass die vom Miner-Modul generierten Malware-Mittel an eine Monero-Brieftasche weitergeleitet wurden. Die Transaktionen, die an ihn gesendet wurden, belaufen sich derzeit auf ungefähr 300 USD. Dies deutet darauf hin, dass die Linux-Angriffe kürzlich gestartet wurden.
Im Moment für die meisten Angriffe, Die Forscher stellen fest, dass es eine Möglichkeit gibt, herauszufinden, ob Ihr MSSQL betroffen ist. Systemadministratoren können nach dem Vorhandensein eines Backdoor-Kontos mit dem Namen suchen Standard / @ fg125kjnhn987.