Une nouvelle campagne d'attaque dangereuse a été détectée par des chercheurs en sécurité impliqués dans la distribution du malware MrbMiner qui est programmé pour infecter les bases de données MSSQL. Ils font partie des sites d'entreprise et d'entreprise et sont utilisés pour contenir des informations sensibles et des valeurs importantes du site. La nature des attaques et le fait que de nombreux portails ont été compromis montrent que le groupe de piratage derrière elles est peut-être très expérimenté.
MrbMiner Malware exploité contre les bases de données MSSQL
Les bases de données MSSQL semblent être attaquées par une nouvelle campagne d'attaque dévastatrice. Cette fois, il s'agit d'un malware dangereux appelé MrbMiner qui est conçu par un groupe de piratage expérimenté. Pour le moment, aucune information n'est disponible sur l'identité des criminels derrière. Le nom a été donné au virus après l'un des noms de domaine qui a été enregistré pour le propager.
Les attaques utilisant un approche botnet — de nombreux ordinateurs et hôtes piratés sont chargés d'identifier automatiquement les serveurs de bases de données accessibles sur un réseau donné. Si tel est le cas, un script automatisé sera appelé pour tenter de tirer parti de divers exploits de sécurité. La principale technique utilisée est la tentatives de force brute qui utilisera un dictionnaire ou des listes basées sur un algorithme des noms d'utilisateur et des mots de passe des utilisateurs administratifs.
Dès que le Malware MrbMiner est déployé sur un ordinateur donné, un séquence d'exécution prédéfinie va commencer. La première action de la version actuelle consiste à télécharger un fichier assm.exe depuis un serveur distant. Il préparera l'environnement en instituant un l'installation persistante. Les fichiers de virus seront lancés à chaque fois que l'ordinateur est mis sous tension. En outre, il peut bloquer l'accès aux options de démarrage de récupération, ce qui rendra très difficile le suivi de la plupart des guides de suppression manuelle des utilisateurs.
Selon le rapports de recherche les attaques sont actuellement modifiées et changeront probablement dans un proche avenir. Ils sont particulièrement utiles pour propager des logiciels malveillants dangereux tels que Cheval de Troie Qbot.
Fonctionnalités supplémentaires du logiciel malveillant MrbMiner
Une étape supplémentaire est l'installation d'un Module cheval de Troie. Il est utilisé pour maintenir une connexion au serveur contrôlé par le pirate. Il est utilisé pour prendre le contrôle des systèmes et voler tous les fichiers et données des hôtes piratés. Habituellement, les serveurs de base de données reposent sur des serveurs de niveau entreprise et optimisés pour les performances. Pour cette raison, les hackers derrière la campagne en cours ont décidé de mettre en œuvre une autre action dangereuse: déployer un mineur de crypto-monnaie. Il s'agit d'un script configuré pour télécharger plusieurs tâches complexes gourmandes en performances sur les serveurs infectés. Ils s'exécuteront automatiquement, ce qui aura un effet rédhibitoire sur la convivialité des systèmes. Pour chaque travail signalé et terminé, les pirates recevront des actifs de crypto-monnaie en récompense.
L'analyse du code des échantillons collectés montre que le virus est compilé de manière croisée pour être compatible avec les systèmes Linux et l'architecture ARM. Cela signifie que le logiciel malveillant peut également s'exécuter sur des appareils utilisés dans des environnements IoT, installations de production et etc..
Cela nous porte également à croire que le groupe de piratage pourrait mener une attaque beaucoup plus importante dans un avenir proche.. Ce fait a incité les analystes à continuer à chercher et ils ont découvert que les fonds malveillants générés par le module mineur étaient transférés vers un portefeuille Monero.. Les transactions qui lui ont été envoyées s'élèvent actuellement à environ 300 USD. Cela suggère que les attaques Linux ont été récemment lancées.
En ce moment pour la plupart des attaques, les chercheurs notent qu'il existe un moyen de savoir si votre MSSQL a été affecté. Les administrateurs système peuvent rechercher la présence d'un compte de porte dérobée avec le nom de Par défaut / @ fg125kjnhn987.