Группировка MrbMiner заразила криптомайнером тысячи серверов MSSQL

Ср 16 Сентябрь 2020 13:17

Специалисты подразделения Tencent Security сообщили о новой киберпреступной группировке под названием MrbMiner, заражающей серверы MSSQL одноименной программой для майнинга криптовалюты Monero. За последние несколько месяцев преступникам удалось инфицировать тысячи MSSQL-серверов.

Название “MrbMiner” связано с одним из доменов, используемого группировкой для хостинга вредоносного ПО. В рамках кампании злоумышленники сканируют интернет на предмет MSSQL-серверов со слабыми паролями, а затем взламывают их с помощью брутфорс-атак. После компрометации цели атакующие загружают файл assm.exe, служащий для связи с управляющим сервером, установки механизма персистентности, способного выдержать перезагрузку, а также для добавления бэкдора в виде учетной записи с логином Default и паролем @fg125kjnhn987. На последнем этапе на систему загружается приложение для майнинга криптовалюты.

Пока исследователи выявили только атаки на MSSQL-серверы, но анализ управляющего сервера показал наличие версий MrbMiner для Linux и устройств на базе архитектуры ARM. Как полагают специалисты, данные версии также могли использоваться в атаках, на что указывает обнаруженный ими криптовалютный кошелек, в котором на момент анализа содержалось 3,38 XMR (~$300).

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 212 дней 7 часов 10 минут 19 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.