MrbMiner

MrbMiner-Beschreibung

Eine neue Angriffskampagne zur Bereitstellung von Cryptomining-Malware für Microsoft SQL Server (MSSQL) wurde veröffentlicht. Die Forscher entdeckten die Aktivitäten einer bisher unbekannten Hacker-Gruppe aus der Cybersecurity-Abteilung des chinesischen Mega-Konzerns Tencent. Sie nannten die Hacker MrbMiner,   Der Name einer der Domänen, die zum Hosten der Malware verwendet werden. Nach den Erkenntnissen der Forscher wurden bereits Tausende von MSSQL-Servern kompromittiert.

Der Angriff beginnt damit, dass die Hacker nach MSSQL-Servern suchen und sich dann brutal durchsetzen, indem sie zahlreiche schwache Passwörter anhand der Anmeldeinformationen des Servers versuchen. Bei Erfolg wird die Infektion ausgelöst, indem zuerst eine Datei mit dem Namen ' assm.exe ' gelöscht wird. 'Die Malware erreicht Persistenz und richtet gleichzeitig ein Gateway für die Hacker ein, indem sie ein Backdoor-Konto mit' Default 'als Benutzername und' @ fg125kjnhn987 'als Passwort einrichtet .

Ziel der gesamten Kampagne ist die Bereitstellung von Crypto-Mining-Malware, die die Ressourcen des Systems zur Generierung von Monero-Münzen (XMR) nutzt. Bei der Verfolgung der Kryptowährungsbrieftasche für die MSSQL-Malware-Variante stellten die Forscher fest, dass sie etwa 7 XMR-Münzen oder etwa 630 US-Dollar enthielt. Die MrbMiner-Gruppe könnte jedoch mehrere verschiedene Brieftaschen verwenden, was bei der Kryptomination von Botnet-Angriffen üblich ist. Darüber hinaus wurden auf dem Command-and-Control-Server (C2) zwei weitere Varianten der Malware entdeckt - eine für Linux-Server und eine für ARM-basierte Computersysteme. Die Linux-Malware wird aktiv bereitgestellt, da an die Brieftaschenadresse bereits rund 3,30 Monero-Münzen gesendet wurden.