伊朗軟件公司涉嫌入侵 SQL 服務器以挖掘加密貨幣

研究人員已經追蹤了一場活動的源頭-感染SQL服務器以挖掘加密貨幣-可以追溯到一家伊朗軟件公司。

研究人員圍繞著以前未發現的，針對面向互聯網的數據庫服務器的加密礦開采活動的來源做出了新發現。

這項名為MrbMiner于2020年9月被發現，它在數千臺SQL服務器上下載并安裝了一個cryptominer。現在，Sophos的研究人員已經追蹤了這場運動的起源，他們聲稱這是一家位于伊朗的小型軟件開發公司。

Sophos的研究人員在周四的分析中說：“一家伊朗軟件公司的名稱被硬編碼到該礦工的主要配置文件中。” “此域已連接到許多其他zip文件，這些文件也包含礦工的副本。這些zip文件又是從其他域下載的，其中一個是mrbftp.xyz。”

研究人員說，他們的記錄并未確切揭示該惡意軟件如何在數據庫服務器上立足。但是，他們指出MyKings SQL攻擊僵尸網絡或 Lemon_Duck 加密貨幣僵尸網絡使用的技術是可能的。這兩個僵尸網絡都利用了系統中各種未修補的漏洞，同時還增加了一些其他感染媒介（包括Lemon Duck的遠程桌密碼暴力攻擊）。

一旦下載到系統中，cryptominer有效負載和配置文件將被解壓縮。Microsoft SQL Server（sqlservr.exe）進程首先啟動一個名為assm.exe的文件，該文件是充當下載程序的特洛伊木馬。然后，Assm.exe從Web服務器下載cryptominer有效負載，并連接到其命令和控制（C2）服務器，以報告礦工的成功下載和執行。

研究人員說：“在大多數情況下，有效負載是一個名為sys.dll的文件，盡管該文件的后綴為Windows DLL，但不是一個zip存檔，其中包含加密礦工的二進制文件，配置文件和相關文件。”

鏈接

Sophos Labs威脅研究總監Gabor Szappanos說，雖然該攻擊似乎是針對面向Internet服務器的大多數加密礦工攻擊的典型特征，但與眾不同的是，攻擊者“似乎已經對隱藏其身份發出了謹慎的警告”。

研究人員發現了大量與該礦工的配置，其域和IP地址有關的記錄，這些記錄指向一個起源點：一家位于伊朗的（未命名）小型軟件公司。例如，一個泄露的消息是，用于托管活動負載的服務器還托管了一個域名（vihansoft.ir），該域是與軟件公司綁定的網站。

研究人員說：“我們在Persian-language地圖網站neshan.org上找到了vihansoft.ir背后的業務參考。” “與Google Maps或Waze相似，Neshan將商業信息作為其地圖服務的一部分，以及將vihansoft.ir作為其網站并指定其董事總經理的公司的條目。”

研究人員指出，居住在伊朗等受美國嚴格國際金融制裁的國家的人可能會在這里使用密碼劫持，以繞過傳統的銀行系統。

服務器：有利的加密劫持目標

盡管許多攻擊者使用其加密挖礦惡意軟件來攻擊計算機，但研究人員強調，數據庫服務器是攻擊者的誘人目標，因為它們用于資源密集型進程，因此具有強大的處理能力。

研究人員說，托管數據庫的IT管理員需要顯著的性能要求，包括處理大量數據讀寫的能力以及高水平的RAM和處理器開銷以快速響應查詢。

研究人員說：“因此，托管數據庫的服務器在性能規模方面更為強大，這就是為什么它們成為攻擊者的絕佳目標，這些攻擊者的目標包括分發加密貨幣礦工。”

在過去的幾年中，攻擊者已經對此有所了解。2019年，作為一次備受矚目的加密劫持活動的一部分，多達50,000臺服務器被感染，據信這是由中文對手精心策劃的。在2018年，MassMiner出現了以各種知名漏洞為目標的Windows服務器，所有漏洞都在一個可執行文件中-包括EternalBlue NSA黑客工具。