MrbMiner заразило тысячи баз

Группа хакеров подбирает серверы MSSQL с использованием слабых паролей и устанавливает вредоносное ПО для крипто-майнинга.


Ряд новых вредоносных программ сделала себе имя за последние несколько месяцев, взломав серверы Microsoft SQL (MSSQL) и установив криптомайнер. По данным отдела кибербезопасности китайского технологического гиганта Tencent, к настоящему времени инфицированы тысячи баз данных MSSQL. В отчете, опубликованном ранее в этом месяце, Tencent Security назвала эту новую группу вредоносных программ MrbMiner в честь одного из доменов, используемых группой для размещения своего вредоносного ПО. Китайская компания заявляет, что ботнет распространялся исключительно путем сканирования Интернета на серверы MSSQL и последующего выполнения атак методом перебора путем многократных попыток использования учетной записи администратора с различными слабыми паролями. После того, как злоумышленники закрепились в системе, они загрузили исходный файл assm.exe, который они использовали для создания механизма сохранения (повторной) загрузки и добавления учетной записи бэкдора для будущего доступа. Tencent сообщает, что эта учетная запись использует имя пользователя Default и пароль @ fg125kjnhn987. Последним этапом процесса заражения было подключение к серверу управления и загрузки приложения, которое добывает криптовалюту Monero (XMR), злоупотребляя ресурсами локального сервера и генерируя монеты XMR в учетных записях, контролируемых злоумышленниками. ТАКЖЕ ОБНАРУЖЕНЫ ВАРИАНТЫ ДЛЯ LINUX И ARM Tencent Security заявляет, что, хотя они видели только заражения на серверах MSSQL, сервер MrbMiner C&C также содержал версии вредоносного ПО группы, написанное для целевых серверов Linux и систем на базе ARM.

Просмотров: 2

© 2020 Inferno Crypto & News