Ερευνητές ασφαλείας ανακάλυψαν ένα νέο malware (το ονόμασαν MrbMiner) που στοχεύει MSSQL servers και εγκαθιστά cryptominer.
Μια νέα συμμορία διανομής malware είναι ιδιαίτερα δραστήρια τους τελευταίους μήνες και έχει καταφέρει να παραβιάσει χιλιάδες Microsoft SQL Servers (MSSQL) και να εγκαταστήσει ένα cryptominer. Σύμφωνα με τους ερευνητές της κινεζικής εταιρείας Tencent, χιλιάδες βάσεις δεδομένων MSSQL έχουν μολυνθεί με το cryptominer.
Στις αρχές του μήνα, η Tencent δημοσίευσε μια έκθεση στην οποία μιλούσε για την εν λόγω malware συμμορία. Οι ερευνητές ονόμασαν τους hackers MrbMiner, δανειζόμενοι το όνομα των domains, που χρησιμοποιούσαν οι εγκληματίες για να φιλοξενήσουν το κακόβουλο λογισμικό τους.
Σύμφωνα με τους ερευνητές, για την εξάπλωση του botnet, έγινε σάρωση στο Διαδίκτυο για ευάλωτους MSSQL servers. Στη συνέχεια, γίνονταν brute-force επιθέσεις με στόχο την απόκτηση πρόσβασης στο λογαριασμό του διαχειριστή.
 που στοχεύει MSSQL servers και εγκαθιστά cryptominer){kind=link}
Μετά την αρχική είσοδο στο σύστημα, οι hackers κατέβαζαν ένα assm.exe file, το οποίο χρησιμοποιούσαν για να δημιουργήσουν έναν “(re)boot persistence μηχανισμό” και να προσθέσουν ένα backdoor account για μελλοντική πρόσβαση. Σύμφωνα με τους ερευνητές, αυτό το account έχει το όνομα χρήστη “Default” και κωδικό πρόσβασης το “@ fg125kjnhn987.”
Η διαδικασία μόλυνσης ολοκληρώνεται με τη σύνδεση στον command and control server και τη λήψη μιας crypto-miner εφαρμογής που κλέβει Monero (XMR), χρησιμοποιώντας παράνομα server resources και δημιουργώντας νομίσματα XMR σε λογαριασμούς που ελέγχονται από τους hackers.
Οι ερευνητές ανακάλυψαν ότι το malware μπορούσε να στοχεύσει και Linux και ARM
Οι ερευνητές της Tencent Security είπαν ότι προς το παρόν έχουν δει να μολύνονται μόνο MSSQL βάσεις δεδομένων. Ωστόσο, ανακάλυψαν ότι ο MrbMiner C&C server περιείχε εκδόσεις του κακόβουλου λογισμικού που δημιουργήθηκαν για να στοχεύσουν Linux servers και ARM-based συστήματα.
Η ανάλυση της Linux έκδοσης έδειξε ότι υπήρχε ένα πορτοφόλι Monero με cryptocurrencies. Η διεύθυνση περιείχε 3,38 XMR (~ $ 300). Αυτό σημαίνει ότι η συμμορία MrbMiner έχει στοχεύσει και Linux συστήματα και έχει κλέψει χρήματα, παρόλο που οι ερευνητές δεν έχουν βρει ακόμα περισσότερες πληροφορίες γι’ αυτές τις επιθέσεις.
Όπως διαβάσαμε και στο ZDNet, το πορτοφόλι Monero που χρησιμοποιήθηκε για την έκδοση MbrMiner που στόχευε MSSQL servers είχε αποθηκευμένα 7 XMR (~ 630 $). Θα μπορούσε κάποιος να πει ότι αυτά τα ποσά είναι πολύ μικρά. Ωστόσο, δεν ξέρουμε αν αντιπροσωπεύουν το συνολικό ποσό που έχουν κλέψει οι hackers, καθώς οι crypto-mining συμμορίες χρησιμοποιούν πολλές διαφορετικές διευθύνσεις (πορτοφόλια).
Προς το παρόν, οι διαχειριστές συστημάτων πρέπει να σαρώσουν τις MSSQL βάσεις δεδομένων τους για να ελέγξουν αν υπάρχει το backdoor account με credentials: Default / @ fg125kjnhn987. Αν εντοπίσουν κάτι τέτοιο, πρέπει να κάνουν άμεσα έλεγχο σε όλο το δίκτυο.