MrbMiner: mã độc mới lây nhiễm hàng ngàn cơ sở dữ liệu MSSQL

[WhiteHat News #ID:0911]

Một nhóm tin tặc phát động hàng loạt cuộc tấn công brute-force vào các máy chủ MSSQL nhằm mục đích cài đặt mã độc đào tiền ảo mới - MrbMiner.

Bắt đầu từ vài tháng trước, nhóm tin tặc MrbMiner tấn công vào máy chủ Microsoft SQL (MSSQL), cài đặt phần mềm đào tiền ảo.
“Tin tặc tấn công thông qua mật khẩu yếu của máy chủ SQL Server. Thành công, chúng sẽ phát tán Trojan assm.exe được viết bằng C # trên hệ thống mục tiêu, sau đó tải xuống và duy trì quá trình khai thác sử dụng Trojan đào tiền ảo Monero”, Trung tâm Security Threat Intelligence Center của Tencent cho hay.
Sau khi chiếm được quyền truy cập vào hệ thống, MrbMiner tải tệp assm.exe ban đầu để nằm vùng và bổ sung thêm tài khoản backdoor để truy cập sau này. Chúng sử dụng tài khoản có tên “Default” và mật khẩu là “@ fg125kjnhn987”.
Sau khi tạo xong tài khoản, mã độc kết nối với C2 để tải công cụ khai thác tiền ảo Monero (XMR) chạy trên máy chủ nội bộ.
Ví Monero sử dụng cho phiên bản MbrMiner được triển khai trên máy chủ MSSQL chứa 7 XMR (~ $ 630).
Điểm thú vị của chiến dịch tấn công này là biến thể của MrbMiner được phát hiện trên máy chủ C&C cũng được thiết kế nhắm mục tiêu vào các máy chủ Linux và các hệ thống trên nền tảng ARM.

Nguồn: Security Affairs​