MrbMiner

Description de MrbMiner

Une nouvelle campagne d'attaque livrant des logiciels malveillants de cryptomining aux serveurs Microsoft SQL Server (MSSQL) a été mise au jour. Les chercheurs ont découvert les activités d'un groupe de hackers jusque-là inconnu de la division cybersécurité de la méga-société chinoise Tencent. Ils ont surnommé les hackers MrbMiner,   le nom de l'un des domaines utilisés pour héberger le malware. Selon les résultats des chercheurs, des milliers de serveurs MSSQL ont déjà été compromis.

L'attaque commence par les pirates recherchant les serveurs MSSQL, puis se forçant à se frayer un chemin en essayant de nombreux mots de passe faibles contre les informations d'identification du serveur. En cas de succès, l'infection est initiée en déposant d'abord un fichier nommé ' assm.exe. «Le malware atteint la persistance tout en établissant une passerelle pour les pirates en créant un compte de porte dérobée avec« Default »comme nom d'utilisateur et« @ fg125kjnhn987 »comme mot de passe.

L'objectif de toute la campagne est de fournir des logiciels malveillants de crypto-minage qui exploitent les ressources du système pour générer des pièces Monero (XMR). En suivant le portefeuille de crypto-monnaie pour la variante du malware MSSQL, les chercheurs ont découvert qu'il contenait environ 7 pièces XMR soit environ 630 $. Cependant, le groupe MrbMiner pourrait utiliser plusieurs portefeuilles différents, ce qui est la pratique habituelle dans les attaques de botnet de cryptomining. En outre, sur le serveur Command-and-Control (C2), deux autres variantes du malware ont été découvertes - l'une conçue pour fonctionner sur des serveurs Linux tandis que l'autre cible les systèmes informatiques basés sur ARM. Le malware Linux est activement déployé en tant qu'adresse du portefeuille car il avait déjà environ 3,30 pièces Monero qui lui étaient envoyées.