کمیته رکن چهارم – در ماه های اخیر بدافزار جدیدی به سرورهای SQL مایکروسافت نفوذ کرده و با نصب نوعی ماینر رمزارز اقدام به کلاهبرداری می کند. طبق گزارش واحد امنیت سایبری شرکت چینی Tencent هزاران دیتابیس MSSQL تاکنون به بدافزار MrbMiner آلوده شده اند.
شرکت Tencent اعلام کرده که باتنت مورد بحث با اسکن اینترنت به دنبال سرورهای MSSQL می گردد و سپس با امتحان کردن پسوردهای ضعیف متعدد تلاش می کند حملات جستجوی فراگیر را علیه اهداف شناسایی شده انجام داده و به داخل آنها نفوذ کند.
پس از آنکه مهاجمان وارد سیستم شدند یک فایل اولیه assm.exe را روی آن دانلود میکنند تا از طریق آن نوعی مکانیزم ثابت ریبوت بسازند و با ایجاد اکانت درب پشتی در سیستم مسیر لازم برای ورودهای بعدی خود به آن را هم فراهم می کنند. Tencent اعلام کرده اکانت درب پشتی ایجاد شده در این سیستم ها با نام کاربری Default و پسورد @fg125kjnhn987 فعالیت می کند.
گام آخر از فرایند آلوده سازی اتصال به سرور فرماندهی و کنترل و دانلود اپلیکیشنی است که رمزارز مونرو را از طریق منابع سرور لوکال استخراج کرده و این رمزارزها را به اکانت های تحت کنترل هکرها انتقال می دهد.
نسخه های لینوکسی و مبتنی بر ARM از بدافزار MrbMiner
شرکت Tencent در گزارش خود خاطرنشان کرده که گرچه آلودگی ها صرفا در سرورهای MSSQL مشاهده شده اما سرور MrbMiner C&C نسخه های دیگری از این بدافزار را که برای سرورهای لینوکسی و مبتنی بر ARM نوشته شده بودند را هم در خود داشته.
کارشناسان این شرکت بعد از بررسی و تحلیل نسخه های لینوکسی از بدافزار MrbMiner اعلام کردند که موفق به کشف یک کیف پول مونرو با مقداری رمزارز شده اند.
آدرس مربوط به این کیف پول حاوی ۳.۳۸ مونرو (برابر با ۳۰۰ دلار) بوده و این نشان می دهد که نسخه های لینوکسی از بدافزار MrbMiner هم فعالانه به دنبال طعمه بوده اند.
اما کیف پول مورد استفاده برای سرورهای MSSQL حاوی ۷ مونرو (با ارزش تقریبی ۶۳۰ دلار) بوده. البته این ارقام کوچک هستند اما تصور میشود که هکرها از کیف پول های متعددی برای استخراج رمزارز کمک گرفته اند و مبلغی که از این عملیات ها عایدشان شده به مراتب بیشتر است.