آلودگی هزاران دیتابیس MSSQL به بدافزار MrbMiner

در ماه های اخیر بدافزار جدیدی به سرورهای SQL مایکروسافتنفوذ کردهو با نصب نوعی ماینر رمزارز  اقدام به کلاهبرداری می کند. طبق گزارش واحد امنیت سایبری شرکت چینی Tencent هزاران دیتابیس MSSQL تاکنون به بدافزار MrbMiner آلوده شده اند.

شرکت Tencent اعلام کرده که باتنت مورد بحث با اسکن اینترنت به دنبال سرورهای MSSQL می گردد و سپس با امتحان کردن پسوردهای ضعیف متعدد تلاش می کندحملات جستجوی فراگیررا علیه اهداف شناسایی شده انجام داده و به داخل آنها نفوذ کند.

پس از آنکه مهاجمان وارد سیستم شدند یک فایل اولیهassm.exeرا روی آن دانلود میکنند تا از طریق آن نوعی مکانیزم ثابت ریبوت بسازند و با ایجاد اکانت درب پشتی در سیستم مسیر لازم برای ورودهای بعدی خود به آن را هم فراهم می کنند. Tencent اعلام کرده اکانت درب پشتی ایجاد شده در این سیستم ها با نام کاربریDefault و پسورد @fg125kjnhn987 فعالیت می کند.

گام آخر از فرایند آلوده سازی اتصال به سرور فرماندهی و کنترل و دانلود اپلیکیشنی است که رمزارز مونرو را از طریق منابع سرور لوکال استخراج کرده و این رمزارزها را به اکانت های تحت کنترل هکرها انتقال می دهد.

نسخه های لینوکسی و مبتنی بر ARM از بدافزار MrbMiner

شرکت Tencent در گزارش خود خاطرنشان کرده که گرچه آلودگی ها صرفا در سرورهای MSSQL مشاهده شده اما سرور MrbMiner C&C نسخه های دیگری از این بدافزار را که برای سرورهای لینوکسی و مبتنی بر ARM نوشته شده بودند را هم در خود داشته.

کارشناسان این شرکت بعد از بررسی و تحلیل نسخه های لینوکسی از بدافزار MrbMiner اعلام کردند که موفق به کشف یک کیف پول مونرو با مقداری رمزارز شده اند.

آدرس مربوط به این کیف پول حاوی ۳.۳۸ مونرو (برابر با ۳۰۰ دلار) بوده و این نشان می دهد که نسخه های لینوکسی از بدافزار MrbMiner هم فعالانه به دنبال طعمه بوده اند.

اما کیف پول مورد استفاده برای سرورهای MSSQL حاوی ۷ مونرو (با ارزش تقریبی ۶۳۰ دلار) بوده. البته این ارقام کوچک هستند اما تصور میشود که هکرها از کیف پول های متعددی برای استخراج رمزارز کمک گرفته اند و  مبلغی که از این عملیات ها عایدشان شده به مراتب بیشتر است.