0
0
Um grupo de hackers está lançando ataques de força bruta em servidores MSSQL com a intenção de comprometê-los e instalar malware de mineração de criptomoedas apelidado de MrbMiner.
De acordo com a empresa de segurança Tencent, a equipe de hackers tem estado ativa nos últimos meses invadindo o Microsoft SQL Servers (MSSQL) para instalar um cripto-minerador.
“O Centro de Inteligência de Ameaças de Segurança da Tencent detectou um novo tipo de família de trojan de mineração MrbMiner. Hackers explodiram através da senha fraca do servidor SQL Server. Depois de uma explosão bem sucedida, eles lançaram o cavalo de Tróia assm.exe escrito em C# no sistema de destino, e então baixaram e mantiveram o Trojan de mineração Monero. Processo de mineração.” continua o post.
Os hackers usaram uma botnet para atingir milhares de instalações do MSSQL.
O nome da gangue de malware, MrbMiner, vem depois de um dos domínios usados pelo grupo para hospedar seu código malicioso.
Uma vez que os hackers tiveram acesso a um sistema, eles baixaram um arquivo inicial assm.exe para alcançar persistência e adicionar uma conta backdoor para acesso futuro. Os pesquisadores da Tencent observaram o uso de uma conta com o nome de usuário “Default” e uma senha de “@fg125kjnhn987″.
Ao criar a conta, o código malicioso se conecta ao C2 para baixar um minerador de criptomoedas Monero (XMR) que é executado no servidor local.
A carteira Monero usada para a versão MbrMiner implantada em servidores MSSQL continha 7 XMR (~$630).
Um dos aspectos mais interessantes dessa nova onda de ataques é que os pesquisadores descobriram na variante do servidor C&C do malware MrbMiner projetado para atingir servidores Linux e sistemas baseados em ARM.
De qualquer forma, na época, os especialistas em segurança da Tencent só observaram ataques em servidores MSSQL, mas a análise da versão Linux revelou uma carteira Monero contendo 3.38 XMR (~US$ 300), sugerindo que as versões Linux também foram empregadas na campanha.
“Os especialistas em segurança da Tencent também descobriram um Trojan de mineração baseado na plataforma Linux e na plataforma ARM no ftp do servidor FTP do invasor[:]//145.239.225.15.” continua a análise.
Os pesquisadores publicaram os Indicadores de Compromisso para esta campanha. Especialistas recomendam que os administradores verifiquem seus servidores MSSQL para a presença da conta Padrão/@fg125kjnhn987.
FONTE: SECURITY AFFAIRS