Компания Sophos заявила, что обнаружила доказательства, связывающие операторов майнингового ботнета MrbMiner с небольшой компанией по разработке программного обеспечения, работающей в Иране.
Вредонос MrbMiner и одноименная группировка, создавшая его, были впервые замечены еще летом прошлого года, а первый анализ этой угрозы прошлой осенью опубликовали специалисты Tencent Security. MrbMiner, используется для установки криптовалютных майнеров на серверы Microsoft SQL (MSSQL), и по данным экспертов, осенью этой малварью были заражены тысячи баз MSSQL.
Ботнет расширяется исключительно за счет сканирования интернета в поисках серверов MSSQL и последующих брутфорс-атак на них. Также неоднократно были замечены попытки использования учетной записи администратора с различными слабыми паролями.
Проникнув в систему, операторы малвари загружают файл assm.exe, который затем используют, чтобы закрепиться в системе и создать новую учетную запись, представляющую собой бэкдор для будущего доступа. Эта учетная запись, как правило, использует имя пользователя Default и пароль @fg125kjnhn987. Последним этапом заражения становится подключение C&C-серверу и загрузка приложения, которое добывает криптовалюту Monero (XMR), используя мощности зараженной системы.
Теперь аналитики Sophos пишут, что изучили методы работы ботнета более глубоко. Они проанализировали пейлоады малвари, домены и управляющие серверы, и обнаружили ряд улик, которые помогли связать MrbMiner с законным иранским бизнесом.
«Когда мы видим, что домены, принадлежащие законному бизнесу, участвуют в атаке, чаще всего это означает, что злоумышленники воспользовались сайтом компании (в большинстве случаев временно), чтобы использовать его как хостинг для создания “мертвой зоны”, где они могут разместить свое вредоносное ПО. Однако в этом случае владелец домена явно замешан в распространении малвари, — рассказывают эксперты. — Злоумышленники, похоже, бросили осторожность. Многие записи, относящиеся к конфигурации майнера, его доменам и IP-адресам, указывают на единственную исходную точку: небольшую софтверную компанию, базирующуюся в Иране».
Дело в том, что сразу несколько доменов MbrMiner, используемых для хостинга пейлоадов, размещались на одном сервере, где также хостится сайт vihansoft[.]ir, принадлежащий иранской фирме, занимающейся разработкой ПО. При этом домен vihansoft[.]ir тоже использовался в качестве управляющего сервера для MbrMiner, а также участвовал в размещении полезных нагрузок, которые затем разворачивали во взломанных базах данных.
Похоже, иранская компания не озаботилась заметанием следов в силу того, что иранские власти практически не сотрудничают с западными правоохранителями, и хакерам вряд ли стоит опасаться ареста и экстрадиции.