Malware greift Microsoft Datenbanken an

Eine neue Malware hat Tausende von Microsoft SQL Server (MSSQL) Datenbanken sind bisher infiziert worden, so der Cybersicherheitsarm des chinesischen Technologieriesen Tencent.

In einem Anfang dieses Monats veröffentlichten Bericht (in chinesischer Sprache, kann mit Google Translate halbwegs verständlich ins Deutsche übersetzt werden) hat Tencent Security diese neue Malware-Gang MrbMiner genannt, nach einer der Domänen, die die Gruppe als Host für ihre Malware verwendet.

Das chinesische Unternehmen gibt an, dass sich das Botnetz ausschließlich dadurch verbreitet hat, dass es das Internet nach MSSQL-Servern durchsucht und dann Brute-Force-Angriffe durchführt, indem es das Administratorkonto wiederholt mit verschiedenen schwachen Passwörtern attackiert.

Sobald die Angreifer auf einem System Fuß gefasst hatten, luden sie eine anfängliche assm.exe-Datei herunter, die sie benutzten, um einen (Re-)Boot-Persistenzmechanismus einzurichten und ein Backdoor-Konto für den zukünftigen Zugriff hinzuzufügen. Tencent sagt, dass dieses Konto den Benutzernamen „Default“ und das Passwort „@fg125kjnhn987“ verwendet.

Der letzte Schritt des Infektionsprozesses bestand darin, eine Verbindung zum Kommando- und Kontrollserver herzustellen und eine Anwendung herunterzuladen, die die Kryptowährung Monero (XMR) durch Missbrauch lokaler Serverressourcen und Generierung von XMR-Münzen in Konten, die von den Angreifern kontrolliert werden, vermint.

Tencent Security sagt, dass sie zwar nur Infektionen auf MSSQL-Servern sahen, der MrbMiner C&C-Server jedoch auch Versionen der Malware der Gruppe enthielt, die für Linux-Server und ARM-basierte Systeme geschrieben wurden.

Nach der Analyse der Linux-Version der Malware MrbMiner sagten die Experten von Tencent, sie hätten eine Monero-Brieftasche identifiziert, in der die Malware Gelder generierte.

Die Adresse enthielt 3,38 XMR (ungefähr 300 Euro), was darauf hindeutet, dass die Linux-Versionen ebenfalls aktiv verbreitet wurden, obwohl Einzelheiten über diese Angriffe vorerst unbekannt sind.

Die Monero-Brieftasche, die für die auf MSSQL-Servern eingesetzte MbrMiner-Version verwendet wurde, enthielt 7 XMR (ungefähr 600 Euro). Obwohl die beiden Summen klein sind, ist bekannt, dass Krypto-Bergbaubanden mehrere Brieftaschen für ihre Operationen verwenden, und die Gruppe hat höchstwahrscheinlich viel größere Gewinne erzielt.

Vorerst müssen Systemadministratoren ihre MSSQL-Server auf das Vorhandensein des Hintertürkontos Default/@fg125kjnhn987 scannen. Falls sie Systeme finden, auf denen dieses Konto konfiguriert ist, werden vollständige Netzwerk-Audits empfohlen.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

3 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

4 Tagen ago