新型 MrbMiner 恶意软件感染数千个 MSSQL 数据库
在过去的几个月中,一个新的恶意软件团伙通过入侵Microsoft SQL Server(MSSQL)并安装了加密矿工。
中国科技巨头腾讯的网络安全部门称,到目前为止,已有成千上万的MSSQL数据库被感染。
在本月初发布的一份报告中,腾讯安全以该组织用来托管其恶意软件的域名之一命名了这个新的恶意软件帮派 MrbMiner。
这家中国公司表示,僵尸网络通过扫描Internet上的MSSQL服务器,然后通过反复尝试使用各种弱密码的admin帐户来进行暴力攻击而专门传播。
一旦攻击者在系统上立足,便下载了一个初始的 assm.exe 文件,用于建立(重新)引导持久性机制并添加后门帐户以供将来访问。腾讯表示,该帐户使用用户名“ 默认 ”和密码“ @ fg125kjnhn987”。
感染过程的最后一步是连接到命令和控制服务器,并下载一个应用,该应用通过滥用本地服务器资源并将XMR代币生成到攻击者控制的帐户中,从而挖掘Monero(XMR)加密货币。
发现LINUX和ARM变体
腾讯安全表示,尽管他们只看到MSSQL服务器上的感染,但MrbMiner C&C服务器还包含针对目标Linux服务器和基于ARM的系统编写的该组织的恶意软件版本。
在分析了Linux版本的MrbMiner恶意软件后,腾讯专家表示,他们确定了一个Monero钱包,恶意软件在其中产生了资金。
该地址包含3.38 XMR(约合300美元),这表明Linux版本也在积极分发中,尽管有关这些攻击的详细信息目前仍未知。
用于在MSSQL服务器上部署的MbrMiner版本的Monero钱包存储了7个XMR(约630美元)。虽然这两个数额很小,但众所周知,加密采矿团伙使用多个钱包进行操作,该集团很可能产生了更大的利润。
目前,系统管理员需要做的是扫描其MSSQL服务器,以查看是否存在 Default / @ fg125kjnhn987 后门帐户。如果他们发现配置了该帐户的系统,则建议进行全面的网络审核。
