Een nieuwe gevaarlijke aanvalscampagne is gedetecteerd door beveiligingsonderzoekers die betrokken zijn bij de distributie van de MrbMiner-malware die is geprogrammeerd om MSSQL-databases te infecteren. Ze maken deel uit van bedrijfs- en bedrijfssites en worden gebruikt om gevoelige informatie en belangrijke sitewaarden te bevatten. De aard van de aanvallen en het feit dat veel portals gecompromitteerd zijn, toont aan dat de hackgroep erachter mogelijk zeer ervaren is.
MrbMiner Malware gebruikt tegen MSSQL-databases
MSSQL-databases lijken te worden aangevallen door een nieuwe verwoestende aanvalscampagne. Dit keer is het een gevaarlijke malware genaamd MrbMiner die is bedacht door een ervaren hackgroep. Op dit moment is er geen informatie beschikbaar over de identiteit van de criminelen erachter. De naam werd aan het virus gegeven na een van de domeinnamen die was geregistreerd om het te verspreiden.
De aanvallen met een botnet-benadering — talrijke computers en gehackte hosts hebben de taak om automatisch toegankelijke databaseservers op een bepaald netwerk te identificeren. Als zoiets wordt gevonden, wordt een geautomatiseerd script aangeroepen dat zal proberen gebruik te maken van verschillende beveiligingsexploits. De belangrijkste gebruikte techniek is de brute krachtpogingen die een woordenboek of op algoritmen gebaseerde lijsten met gebruikersnamen en wachtwoorden van de administratieve gebruikers zullen gebruiken.
Zodra de MrbMiner Malware is geïmplementeerd op een bepaalde computer, wordt een vooraf ingestelde uitvoeringsvolgorde zal beginnen. De eerste actie in de huidige versie is het downloaden van een assm.exe-bestand vanaf een externe server. Het zal de omgeving voorbereiden door een persistent installatie. De virusbestanden worden elke keer dat de computer wordt ingeschakeld gestart. Bovendien, het kan de toegang tot de herstel-opstartopties blokkeren, waardoor het erg moeilijk wordt om de meeste handmatige gebruikersverwijderingsgidsen te volgen.
Volgens de onderzoeksrapporten de aanvallen worden momenteel getweakt en zullen waarschijnlijk in de nabije toekomst veranderen. Ze zijn vooral handig voor het verspreiden van gevaarlijke malware, zoals de Qbot Trojan.
Aanvullende MrbMiner-malwaremogelijkheden
Een extra stap is de installatie van een Trojan module. Het wordt gebruikt om verbinding te houden met de door hackers gecontroleerde server. Het wordt gebruikt om de controle over de systemen over te nemen en alle bestanden en gegevens van de gehackte hosts te stelen. Gewoonlijk, databaseservers zijn gebouwd op hoogwaardige en voor prestaties geoptimaliseerde servers. Daarom, de hackers achter de lopende campagne hebben besloten om nog een gevaarlijke actie te ondernemen - to zet een cryptocurrency-mijnwerker in. Dit is een script dat is geconfigureerd om meerdere prestatie-intensieve complexe taken naar de geïnfecteerde servers te downloaden. Ze worden automatisch uitgevoerd, wat een verlammend effect heeft op de bruikbaarheid van de systemen. Voor elke gerapporteerde en voltooide taak ontvangen de hackers cryptocurrency-activa als beloning.
De code-analyse van de verzamelde voorbeelden laat zien dat het virus is cross-gecompileerd om compatibel te zijn met Linux-systemen en de ARM-architectuur. Dit betekent dat de malware ook kan draaien op apparaten die in IoT-omgevingen worden gebruikt, productiefaciliteiten en enz.
Dit doet ons ook geloven dat de hackgroep in de nabije toekomst mogelijk een veel grotere aanval zal uitvoeren. Dit feit zette de analisten ertoe aan om verder te zoeken en ze ontdekten dat de malwarefondsen die door de miner-module werden gegenereerd, werden doorgestuurd naar een Monero-portemonnee. De transacties die naar haar zijn verzonden bedragen momenteel ongeveer 300 USD. Dit suggereert dat de Linux-aanvallen onlangs zijn begonnen.
Op dit moment voor de meeste aanvallen, de onderzoekers merken op dat er een manier is om erachter te komen of uw MSSQL is aangetast. Systeembeheerders kunnen zoeken naar de aanwezigheid van een achterdeuraccount met de naam van Standaard / @ fg125kjnhn987.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: