中國公司騰訊安全專家發言1 關於以前在Microsoft SQL服務器(MSSQL)上安裝了加密貨幣礦工的MrbMiner惡意軟件。 據專家介紹,已經感染了數千個MSSQL數據庫。
The 研究人員還將這些攻擊的幕後組織命名為MrbMiner,這是網絡罪犯用來託管惡意軟件的域名之一。 專家寫道,殭屍網絡僅通過掃描Internet搜索MSSQL服務器以及隨後對它們的暴力攻擊就可以擴展。 還注意到嘗試使用具有各種弱密碼的管理員帳戶。
侵入系統後,攻擊者會下載assm.exe文件,然後使用該文件在系統中佔據一席之地並創建一個新帳戶,該帳戶充當以後訪問的後門程序。 此帳戶通常使用用戶名 Default 和密碼 @fg125kjnhn987 。 感染的最後階段是連接到C&C服務器並下載一個應用程序,該應用程序使用受感染系統的力量來提取 Monero(XMR)加密貨幣。
Windows Update Service.exe (MrbMiner malware)
儘管到目前為止,騰訊安全專家僅觀察到對MSSQL服務器的攻擊。 他們寫道,MrbMiner控制服務器還包含針對Linux和基於ARM的系統的其他惡意軟件。
MrbMiner文件:
在檢查了適用於Linux的MrbMiner之後,專家發現了惡意軟件將Monero轉移到的錢包地址。 錢包中包含3.38 XMR(約合300美元),這意味著Linux惡意軟件已經在使用中,儘管這些攻擊的詳細信息仍然未知。 反過來,MSSQL版本的MbrMiner使用的錢包包含7個XMR(約630美元)。 儘管這些金額很小,但採礦黑客通常會使用多個錢包進行操作,因此MbrMiner集團可能會獲得更多利潤。
User Review
( votes) Comments Rating ( reviews)
References
- Tencent Security: The cross-platform mining Trojan MrbMiner has controlled thousands of servers [CN]
