新型 MrbMiner 惡意軟件感染數千個 MSSQL 數據庫
在過去的幾個月中,一個新的惡意軟件團伙通過入侵Microsoft SQL Server(MSSQL)并安裝了加密礦工。
中國科技巨頭騰訊的網絡安全部門稱,到目前為止,已有成千上萬的MSSQL數據庫被感染。
在本月初發布的一份報告中,騰訊安全以該組織用來托管其惡意軟件的域名之一命名了這個新的惡意軟件幫派 MrbMiner。
這家中國公司表示,僵尸網絡通過掃描Internet上的MSSQL服務器,然后通過反復嘗試使用各種弱密碼的admin帳戶來進行暴力攻擊而專門傳播。
一旦攻擊者在系統上立足,便下載了一個初始的 assm.exe 文件,用于建立(重新)引導持久性機制并添加后門帳戶以供將來訪問。騰訊表示,該帳戶使用用戶名“ 默認 ”和密碼“ @ fg125kjnhn987”。
感染過程的最后一步是連接到命令和控制服務器,并下載一個應用,該應用通過濫用本地服務器資源并將XMR代幣生成到攻擊者控制的帳戶中,從而挖掘Monero(XMR)加密貨幣。
發現LINUX和ARM變體
騰訊安全表示,盡管他們只看到MSSQL服務器上的感染,但MrbMiner C&C服務器還包含針對目標Linux服務器和基于ARM的系統編寫的該組織的惡意軟件版本。
在分析了Linux版本的MrbMiner惡意軟件后,騰訊專家表示,他們確定了一個Monero錢包,惡意軟件在其中產生了資金。
該地址包含3.38 XMR(約合300美元),這表明Linux版本也在積極分發中,盡管有關這些攻擊的詳細信息目前仍未知。
用于在MSSQL服務器上部署的MbrMiner版本的Monero錢包存儲了7個XMR(約630美元)。雖然這兩個數額很小,但眾所周知,加密采礦團伙使用多個錢包進行操作,該集團很可能產生了更大的利潤。
目前,系統管理員需要做的是掃描其MSSQL服務器,以查看是否存在 Default / @ fg125kjnhn987 后門帳戶。如果他們發現配置了該帳戶的系統,則建議進行全面的網絡審核。
