Malware greift Microsoft Datenbanken an

Eine neue Malware hat Tausende von Microsoft SQL Server (MSSQL) Datenbanken sind bisher infiziert worden, so der Cybersicherheitsarm des chinesischen Technologieriesen Tencent.

In einem Anfang dieses Monats veröffentlichten Bericht (in chinesischer Sprache, kann mit Google Translate halbwegs verständlich ins Deutsche übersetzt werden) hat Tencent Security diese neue Malware-Gang MrbMiner genannt, nach einer der Domänen, die die Gruppe als Host für ihre Malware verwendet.

Das chinesische Unternehmen gibt an, dass sich das Botnetz ausschließlich dadurch verbreitet hat, dass es das Internet nach MSSQL-Servern durchsucht und dann Brute-Force-Angriffe durchführt, indem es das Administratorkonto wiederholt mit verschiedenen schwachen Passwörtern attackiert.

Sobald die Angreifer auf einem System Fuß gefasst hatten, luden sie eine anfängliche assm.exe-Datei herunter, die sie benutzten, um einen (Re-)Boot-Persistenzmechanismus einzurichten und ein Backdoor-Konto für den zukünftigen Zugriff hinzuzufügen. Tencent sagt, dass dieses Konto den Benutzernamen „Default“ und das Passwort „@fg125kjnhn987“ verwendet.

Der letzte Schritt des Infektionsprozesses bestand darin, eine Verbindung zum Kommando- und Kontrollserver herzustellen und eine Anwendung herunterzuladen, die die Kryptowährung Monero (XMR) durch Missbrauch lokaler Serverressourcen und Generierung von XMR-Münzen in Konten, die von den Angreifern kontrolliert werden, vermint.

Tencent Security sagt, dass sie zwar nur Infektionen auf MSSQL-Servern sahen, der MrbMiner C&C-Server jedoch auch Versionen der Malware der Gruppe enthielt, die für Linux-Server und ARM-basierte Systeme geschrieben wurden.

Nach der Analyse der Linux-Version der Malware MrbMiner sagten die Experten von Tencent, sie hätten eine Monero-Brieftasche identifiziert, in der die Malware Gelder generierte.

Die Adresse enthielt 3,38 XMR (ungefähr 300 Euro), was darauf hindeutet, dass die Linux-Versionen ebenfalls aktiv verbreitet wurden, obwohl Einzelheiten über diese Angriffe vorerst unbekannt sind.

Die Monero-Brieftasche, die für die auf MSSQL-Servern eingesetzte MbrMiner-Version verwendet wurde, enthielt 7 XMR (ungefähr 600 Euro). Obwohl die beiden Summen klein sind, ist bekannt, dass Krypto-Bergbaubanden mehrere Brieftaschen für ihre Operationen verwenden, und die Gruppe hat höchstwahrscheinlich viel größere Gewinne erzielt.

Vorerst müssen Systemadministratoren ihre MSSQL-Server auf das Vorhandensein des Hintertürkontos Default/@fg125kjnhn987 scannen. Falls sie Systeme finden, auf denen dieses Konto konfiguriert ist, werden vollständige Netzwerk-Audits empfohlen.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

ZDNet.de Redaktion

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

5 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

6 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago