Xakep #305. Многошаговые SQL-инъекции
Специалисты китайской компании Tencent Security рассказали о малвари MrbMiner, которая испольузется для установки криптовалютных майнеров на серверы Microsoft SQL (MSSQL). По данным экспертов, в настоящее время уже заражены тысячи баз данных MSSQL.
Группировке, стоящей за этими атаками, исследователи так же присвоили название MrbMiner, данное в честь одного из доменов, используемых злоумышленниками для размещения малвари.
Специалисты пишут, что ботнет расширяется исключительно за счет сканирования интернета в поисках серверов MSSQL и последующих брутфорс-атак на них. Также неоднократно были замечены попытки использования учетной записи администратора с различными слабыми паролями.
Проникнув в систему, злоумышленники загружают файл assm.exe, который затем используют, чтобы закрепиться в системе и создать новую учетную запись, представляющую собой бэкдор для будущего доступа. Эта учетная запись, как правило, использует имя пользователя Default и пароль @fg125kjnhn987. Последним этапом заражения становится подключение C&C-серверу и загрузка приложения, которое добывает криптовалюту Monero (XMR), используя мощности зараженной системы.
Хотя пока эксперты Tencent Security наблюдали атаки только на серверы MSSQL, они пишут, что управляющий сервер MrbMiner содержит и другую малварь, в том числе для Linux и систем на базе ARM.
Изучив MrbMiner для Linux, эксперты узнали адрес кошелька, на который вредоносное ПО переводило Monero. Кошелек содержит 3.38 XMR (около 300 долларов США), то есть малварь для Linux тоже уже используется, хотя подробности об этих атаках пока неизвестны. В свою очередь, в кошельке, используемом версией MbrMiner для MSSQL, содержится 7 XMR (около 630 долларов США). Хотя эти суммы невелики, хакеры, промышляющие майнингом, обычно используют несколько кошельков для своих операций, так что группировка MbrMiner, скорее всего, тоже получает бо́льшие прибыли.