Κυριακή, 21 Φεβρουαρίου, 23:44
Αρχική security Sophos: «Ιρανική εταιρεία πίσω από το MrbMiner crypto-mining botnet»!

Sophos: «Ιρανική εταιρεία πίσω από το MrbMiner crypto-mining botnet»!

Η εταιρεία κυβερνοασφάλειας “Sophos” δήλωσε ότι ανακάλυψε στοιχεία που συνδέουν τους χειριστές του MrbMiner crypto-mining botnet με μια μικρή Ιρανική εταιρεία ανάπτυξης boutique software, που λειτουργεί από την πόλη Shiraz. Σύμφωνα με τους ερευνητές, το MrbMiner botnet λειτουργεί από το καλοκαίρι του 2020, ενώ αναφέρθηκε για πρώτη φορά σε μια έκθεση της Tencent Security τον Σεπτέμβριο του ίδιου έτους.

Sophos

Η Tencent ανέφερε ότι παρατήρησε το MrbMiner crypto-mining botnet να εκτελεί brute-force επιθέσεις σε Microsoft SQL Servers (MSSQL) databases, για να αποκτήσει πρόσβαση σε λογαριασμούς διαχειριστή με χαμηλή ασφάλεια. Μόλις κατάφερνε να αποκτήσει πρόσβαση, το botnet δημιουργούσε έναν backdoor λογαριασμό με τα Default / @ fg125kjnhn987 credentials και έκανε download και εγκαθιστούσε έναν cryptocurrency miner από domains όπως το mrbftp.xyz ή το mrbfile.xyz.

Σε μια έκθεση που δημοσιεύτηκε στις 21 Ιανουαρίου, οι ερευνητές της Sophos ανέφεραν ότι ανέλυσαν εις βάθος το modus operandi αυτού του botnet. Εξέτασαν τα malware payloads, τα domain data και τις πληροφορίες server και εντόπισαν αρκετές ενδείξεις που τους οδήγησαν στο συμπέρασμα ότι πίσω από αυτή την κακόβουλη «επιχείρηση» βρίσκεται μια Ιρανική οντότητα.

Sophos: «Ιρανική εταιρεία πίσω από το MrbMiner crypto-mining botnet»!

Πιο αναλυτικά, οι ερευνητές της Sophos Andrew Brandt και Gabor Szappanos επεσήμαναν τα ακόλουθα: «Όταν βλέπουμε web domains που ανήκουν σε μια νόμιμη επιχείρηση, η οποία εμπλέκεται σε μια επίθεση, είναι πολύ πιο πιθανό οι εισβολείς απλώς να καταχράστηκαν ένα site (προσωρινά, στις περισσότερες περιπτώσεις) για να χρησιμοποιήσουν τις web hosting δυνατότητές του, ώστε να δημιουργήσουν ένα “dead drop” όπου μπορούν να φιλοξενήσουν το malware payload. Ωστόσο, σε αυτήν την περίπτωση, ο κάτοχος του domain εμπλέκεται στη διάδοση του malware.»

Σύμφωνα με το ZDNet, η Sophos σημείωσε ότι πολλά MbrMiner domains που φιλοξενούσαν τα cryptominer payloads, βρίσκονταν στον ίδιο server που φιλοξενούσε το vihansoft.ir, το site μιας νόμιμης εταιρείας ανάπτυξης software με έδρα το Ιράν.

Sophos: «Ιρανική εταιρεία πίσω από το MrbMiner crypto-mining botnet»!

Επιπλέον, το domain vihansoft.ir χρησιμοποιήθηκε και ως C&C server για την επιχείρηση του MrbMiner crypto-mining botnet, ενώ φιλοξενούσε επίσης κακόβουλα payloads που λήφθηκαν και αναπτύχθηκαν σε παραβιασμένα databases.

Ένας από τους λόγους που η Ιρανική εταιρεία δεν ασχολήθηκε ιδιαίτερα με το να καλύψει καλύτερα τα ίχνη της, είναι λόγω της τοποθεσίας της. Τα τελευταία χρόνια, οι Ιρανοί κυβερνοεγκληματίες έχουν γίνει πιο αδιάφοροι και πιο απρόσεκτοι, καθώς συνειδητοποιούν ότι η Ιρανική κυβέρνηση δεν θα εκδώσει τους πολίτες της στις δυτικές κυβερνήσεις.

Ιρανική εταιρεία πίσω από το MrbMiner crypto-mining botnet

Ανάμεσα στις πιο διαβόητες hacking συμμορίες που συνδέονται με το Ιράν συγκαταλέγονται εκείνες των SamSam και Pay2Key ransomware καθώς και η ομάδα phishing “Silent Librarian”, ωστόσο υπάρχουν και πολλές άλλες μικρότερες εγκληματικές επιχειρήσεις.

Αξίζει να σημειωθεί ότι παρά την έκθεση που κοινοποίησε η Sophos, η επιχείρηση του MrbMiner botnet αναμένεται να συνεχίσει να λειτουργεί κανονικά, χωρίς να υποστεί κάποια συνέπεια.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

LIVE NEWS

Πως να πραγματοποιήσετε μια κλήση Facetime Audio

Έχετε κουραστεί από τις κλήσεις κινητής τηλεφωνίας χαμηλής ποιότητας; Χάρη στο FaceTime, μπορείτε να πραγματοποιείτε κλήσεις υψηλής ανάλυσης αν χρησιμοποιείτε iPhone, iPad,...

Πώς θα προσθέσετε ειδικά εφέ στα μηνύματα του Instagram

Γνωρίζατε ότι μπορείτε να κάνετε τα άμεσα μηνύματα του Instagram πιο εντυπωσιακά; Όπως κάθε άλλη δυνατότητα του Instagram, μπορείτε να προσθέσετε ειδικά...

Μόνο 270 διευθύνσεις είναι υπεύθυνες για το 55% του συνόλου της νομιμοποίησης εσόδων από παράνομες δραστηριότητες

Οι κυβερνοεγκληματίες που διατηρούν τα χρήματά τους σε κρυπτονομίσματα τείνουν να «ξεπλένουν» χρήματα μέσω ενός μικρού συνόλου διαδικτυακών υπηρεσιών, σύμφωνα με την...

Twitter: Έρχονται τα φωνητικά μηνύματα! Πώς θα τα στέλνουμε;

Το Twitter θα υποστηρίζει σύντομα φωνητικά μηνύματα τόσο στην iOS όσο και στην Android εφαρμογή. Αυτό σημαίνει ότι θα μπορείτε να στέλνετε...

Πως να συνδέσετε ακουστικά Bluetooth σε ένα Nintendo Switch

Το Nintendo Switch διαθέτει υποδοχή ακουστικών. Ωστόσο, τα περισσότερα ακουστικά έχουν γίνει ασύρματα οπότε θα χρειαστείτε έναν τρόπο για να συνδέσετε αυτά...

Πώς να αποκρύψετε τον αριθμό τηλεφώνου σας στο Telegram

Εάν επιθυμείτε να δημιουργήσετε ένα λογαριασμό Telegram, πρέπει να δώσετε τον αριθμό τηλεφώνου σας. Με αυτό τον τρόπο, το Telegram επικυρώνει την...

Google Assistant: Πώς μπορείτε να διαγράψετε τις ηχογραφήσεις σας;

Το Google Assistant μπορεί να σας διευκολύνει πολύ στην καθημερινότητά σας. Ωστόσο, συνεπάγεται και κάποια ζητήματα ως προς το απόρρητο, καθώς όσα...

Microsoft: Office 2021 / Office LTSC έρχονται το δεύτερο εξάμηνο του 2021

Η Microsoft ανακοίνωσε ότι θα κυκλοφορήσει μέσα στο 2021 το Microsoft Office Long Term Servicing Channel (LTSC) και το Office 2021, για...

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...