Малварь MrbMiner связали с иранскими разработчиками ПО - «Новости»

  • 00:00, 25-янв-2021
  • Новости / Преимущества стилей / Интернет и связь / Заработок / Сайтостроение / Линии и рамки / Вёрстка
  • Carter
  • 0

Компания Sophos заявила, что обнаружила доказательства, связывающие операторов майнингового ботнета MrbMiner с небольшой компанией по разработке программного обеспечения, работающей в Иране.


Вредонос MrbMiner и одноименная группировка, создавшая его, были впервые замечены еще летом прошлого года, а первый анализ этой угрозы прошлой осенью опубликовали специалисты Tencent Security. MrbMiner, используется для установки криптовалютных майнеров на серверы Microsoft SQL (MSSQL), и по данным экспертов, осенью этой малварью были заражены тысячи баз MSSQL.


Ботнет расширяется исключительно за счет сканирования интернета в поисках серверов MSSQL и последующих брутфорс-атак на них. Также неоднократно были замечены попытки использования учетной записи администратора с различными слабыми паролями.


Проникнув в систему, операторы малвари загружают файл assm.exe, который затем используют, чтобы закрепиться в системе и создать новую учетную запись, представляющую собой бэкдор для будущего доступа. Эта учетная запись, как правило, использует имя пользователя Default и пароль @fg125kjnhn987. Последним этапом заражения становится подключение C&C-серверу и загрузка приложения, которое добывает криптовалюту Monero (XMR), используя мощности зараженной системы.


Теперь аналитики Sophos пишут, что изучили методы работы ботнета более глубоко. Они проанализировали пейлоады малвари, домены и управляющие серверы, и обнаружили ряд улик, которые помогли связать MrbMiner с законным иранским бизнесом.


«Когда мы видим, что домены, принадлежащие законному бизнесу, участвуют в атаке, чаще всего это означает, что злоумышленники воспользовались сайтом компании (в большинстве случаев временно), чтобы использовать его как хостинг для создания “мертвой зоны”, где они могут разместить свое вредоносное ПО. Однако в этом случае владелец домена явно замешан в распространении малвари, — рассказывают эксперты. — Злоумышленники, похоже, бросили осторожность. Многие записи, относящиеся к конфигурации майнера, его доменам и IP-адресам, указывают на единственную исходную точку: небольшую софтверную компанию, базирующуюся в Иране».


Дело в том, что сразу несколько доменов MbrMiner, используемых для хостинга пейлоадов, размещались на одном сервере, где также хостится сайт vihansoft[.]ir, принадлежащий иранской фирме, занимающейся разработкой ПО. При этом домен vihansoft[.]ir тоже использовался в качестве управляющего сервера для MbrMiner, а также участвовал в размещении полезных нагрузок, которые затем разворачивали во взломанных базах данных.


Похоже, иранская компания не озаботилась заметанием следов в силу того, что иранские власти практически не сотрудничают с западными правоохранителями, и хакерам вряд ли стоит опасаться ареста и экстрадиции.


Компания Sophos заявила, что обнаружила доказательства, связывающие операторов майнингового ботнета MrbMiner с небольшой компанией по разработке программного обеспечения, работающей в Иране. Вредонос MrbMiner и одноименная группировка, создавшая его, были впервые замечены еще летом прошлого года, а первый анализ этой угрозы прошлой осенью опубликовали специалисты Tencent Security. MrbMiner, используется для установки криптовалютных майнеров на серверы Microsoft SQL (MSSQL), и по данным экспертов, осенью этой малварью были заражены тысячи баз MSSQL. Ботнет расширяется исключительно за счет сканирования интернета в поисках серверов MSSQL и последующих брутфорс-атак на них. Также неоднократно были замечены попытки использования учетной записи администратора с различными слабыми паролями. Проникнув в систему, операторы малвари загружают файл assm.exe, который затем используют, чтобы закрепиться в системе и создать новую учетную запись, представляющую собой бэкдор для будущего доступа. Эта учетная запись, как правило, использует имя пользователя Default и пароль @fg125kjnhn987. Последним этапом заражения становится подключение C

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!