在过去的几个月里,一个新的恶意软件团伙通过入侵Microsoft SQL Server(MSSQL)和安装一个crypto miner而声名鹊起。
目前已有数千个MSSQL数据库受到感染,据中国科技巨头腾讯的网络安全部门称https://s.tencent.com/research/report/1105.html“target=”noopener noreferrer nofollow“data component=”externalLink“>报告于本月早些时候发布,腾讯安全已将这一新的恶意软件团伙命名为MrbMiner,这家中国公司说,僵尸网络是通过扫描互联网上的MSSQL服务器,然后用各种弱密码反复尝试管理员帐户来进行暴力攻击,从而传播僵尸网络。
一旦攻击者在一个系统中站稳脚跟,他们下载了首字母助理.exe文件,他们使用该文件建立(重新)引导持久性机制,并为将来的访问添加后门帐户。腾讯表示,这个账号使用用户名“默认”和密码“@fg125kjnhn987”。
感染过程的最后一步是连接到指挥控制服务器,下载一个应用程序,通过滥用本地服务器资源并将XMR硬币生成到受控帐户,来挖掘Monero(XMR)加密货币攻击者。
腾讯安全公司表示,虽然他们只看到MSSQL服务器上的感染,但MrbMiner C&C服务器还包含该集团的恶意软件版本,这些恶意软件是针对Linux服务器和基于ARM的系统编写的。
在分析了Linux版本的MrbMiner恶意软件后,腾讯专家表示,他们发现了一个Monero钱包,恶意软件在其中产生资金。
该地址包含3.38 XMR(~300美元),这表明Linux版本也在积极传播,尽管这些攻击的细节目前还不清楚。
用于部署在MSSQL服务器上的MbrMiner版本的Monero钱包存储7XMR(约630美元)。虽然这两笔金额很小,但众所周知,加密采矿团伙使用多个钱包进行运营,而且该集团很可能产生了更大的利润。
目前,系统管理员需要做的是扫描他们的MSSQL服务器,查看是否存在默认/@fg125kjnhn987后门账户。如果他们发现配置了此帐户的系统,建议进行完整的网络审核。
