MSSQLデータベースに感染するようにプログラムされたMrbMinerマルウェアの配布に関与するセキュリティ研究者によって、新しい危険な攻撃キャンペーンが検出されました. それらは企業および企業サイトの一部であり、機密情報および重要なサイト値を含むために使用されます. 攻撃の性質と多くのポータルが侵害されたという事実は、その背後にあるハッキンググループがおそらく非常に経験豊富であることを示しています.
MSSQLデータベースに対して活用されるMrbMinerマルウェア
MSSQLデータベースは、新しい壊滅的な攻撃キャンペーンによる攻撃を受けているようです. 今回は危険なマルウェアと呼ばれています MrbMiner これは経験豊富なハッキンググループによって考案されたものです. 現時点では、その背後にいる犯罪者の身元について入手できる情報はありません。. この名前は、ウイルスを広めるために登録されたドメイン名の1つにちなんでウイルスに付けられました。.
を使用した攻撃 ボットネットアプローチ — 多数のコンピューターとハッキングされたホストは、特定のネットワーク上のアクセス可能なデータベースサーバーを自動的に識別することを目的としています。. そのようなものが見つかった場合、さまざまなセキュリティエクスプロイトを活用しようとする自動スクリプトが呼び出されます. 使用される主な手法は ブルートフォース攻撃 管理ユーザーのユーザー名とパスワードの辞書またはアルゴリズムベースのリストを使用します.
MrbMinerマルウェアが特定のコンピューターにデプロイされるとすぐに プリセット実行シーケンス 始まります. 現在のバージョンの最初のアクションは、 assm.exeファイル リモートサーバーから. それは、を設定することによって環境を準備します 永続的なインストール. コンピュータの電源を入れるたびにウイルスファイルが起動されます. 加えて, リカバリブートオプションへのアクセスをブロックする可能性があるため、ほとんどの手動ユーザー削除ガイドに従うことが非常に困難になります.
による 研究報告 攻撃は現在調整されており、近い将来変更される可能性があります. これらは、次のような危険なマルウェアを拡散する場合に特に役立ちます。 Qbotトロイの木馬.
追加のMrbMinerマルウェア機能
追加の手順は、のインストールです。 トロイの木馬モジュール. ハッカーが制御するサーバーへの接続を維持するために使用されます. これは、システムの制御を引き継ぎ、ハッキングされたホストからファイルやデータを盗むために使用されます. いつもの, データベースサーバーは、エンタープライズグレードでパフォーマンスが最適化されたサーバーの上に構築されています. このために, 進行中のキャンペーンの背後にいるハッカーは、別の危険なアクションを実装することを決定しました– 暗号通貨マイナーを展開する. これは、パフォーマンスを大量に消費する複数の複雑なタスクを感染したサーバーにダウンロードするように構成されたスクリプトです。. それらは自動的に実行され、システムの使いやすさに大きな影響を及ぼします. 報告されて完了したジョブごとに、ハッカーは報酬として暗号通貨資産を受け取ります.
収集されたサンプルのコード分析は、ウイルスがLinuxシステムおよびARMアーキテクチャと互換性があるようにクロスコンパイルされていることを示しています. これは、マルウェアがIoT環境で使用されるデバイスでも実行できることを意味します, 生産設備等.
これはまた、ハッキンググループが近い将来はるかに大きな攻撃を追求している可能性があると私たちに信じさせます. この事実により、アナリストは調査を続けるようになり、マイナーモジュールによって生成されたマルウェア資金がMoneroウォレットに転送されることを発見しました。. それに送信されたトランザクションは、現在約になります 300 米ドル. これは、Linux攻撃が最近開始されたことを示唆しています.
現時点ではほとんどの攻撃について, 研究者は、MSSQLが影響を受けているかどうかを確認する方法があると述べています. システム管理者は、次の名前のバックドアアカウントの存在を検索できます。 デフォルト/@fg125kjnhn987.