Eine neue Malware hat Tausende von Microsoft SQL Server (MSSQL) Datenbanken sind bisher infiziert worden, so der Cybersicherheitsarm des chinesischen Technologieriesen Tencent.
In einem Anfang dieses Monats veröffentlichten Bericht (in chinesischer Sprache, kann mit Google Translate halbwegs verständlich ins Deutsche übersetzt werden) hat Tencent Security diese neue Malware-Gang MrbMiner genannt, nach einer der Domänen, die die Gruppe als Host für ihre Malware verwendet.
Das chinesische Unternehmen gibt an, dass sich das Botnetz ausschließlich dadurch verbreitet hat, dass es das Internet nach MSSQL-Servern durchsucht und dann Brute-Force-Angriffe durchführt, indem es das Administratorkonto wiederholt mit verschiedenen schwachen Passwörtern attackiert.
Sobald die Angreifer auf einem System Fuß gefasst hatten, luden sie eine anfängliche assm.exe-Datei herunter, die sie benutzten, um einen (Re-)Boot-Persistenzmechanismus einzurichten und ein Backdoor-Konto für den zukünftigen Zugriff hinzuzufügen. Tencent sagt, dass dieses Konto den Benutzernamen „Default“ und das Passwort „@fg125kjnhn987“ verwendet.
Der letzte Schritt des Infektionsprozesses bestand darin, eine Verbindung zum Kommando- und Kontrollserver herzustellen und eine Anwendung herunterzuladen, die die Kryptowährung Monero (XMR) durch Missbrauch lokaler Serverressourcen und Generierung von XMR-Münzen in Konten, die von den Angreifern kontrolliert werden, vermint.
Tencent Security sagt, dass sie zwar nur Infektionen auf MSSQL-Servern sahen, der MrbMiner C&C-Server jedoch auch Versionen der Malware der Gruppe enthielt, die für Linux-Server und ARM-basierte Systeme geschrieben wurden.
Nach der Analyse der Linux-Version der Malware MrbMiner sagten die Experten von Tencent, sie hätten eine Monero-Brieftasche identifiziert, in der die Malware Gelder generierte.
Die Adresse enthielt 3,38 XMR (ungefähr 300 Euro), was darauf hindeutet, dass die Linux-Versionen ebenfalls aktiv verbreitet wurden, obwohl Einzelheiten über diese Angriffe vorerst unbekannt sind.
Die Monero-Brieftasche, die für die auf MSSQL-Servern eingesetzte MbrMiner-Version verwendet wurde, enthielt 7 XMR (ungefähr 600 Euro). Obwohl die beiden Summen klein sind, ist bekannt, dass Krypto-Bergbaubanden mehrere Brieftaschen für ihre Operationen verwenden, und die Gruppe hat höchstwahrscheinlich viel größere Gewinne erzielt.
Vorerst müssen Systemadministratoren ihre MSSQL-Server auf das Vorhandensein des Hintertürkontos Default/@fg125kjnhn987 scannen. Falls sie Systeme finden, auf denen dieses Konto konfiguriert ist, werden vollständige Netzwerk-Audits empfohlen.
Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.
Der Sicherheitscheck entzieht unsicheren Websites automatisch alle Berechtigungen. Zudem können Nutzer in Chrome künftig Websites…
Ontinue registriert einen Anstieg beim Anteil am Gesamtangriffsvolumen um 105 Prozent. Das Angriffsvolumen auf den…
Das o1 genannte Modell liegt als Preview vor. Bei einer Mathematikprüfung beantwortet es 83 Prozent…
Das Kennzeichen erhalten Zoom Workplace Pro und Zoom Workplace Basic. Es bescheinigt unter anderem aktuelle…
iOS und iPadOS erhalten Tab-Gruppen. Zudem unterstützt Chrome nun die Synchronisierung von Tab-Gruppen.
Sie befürchten einen Missbrauch der Identitäten von Verstorbenen. 60 Prozent befürworten deswegen eine Klärung des…