腾讯去年9月首次对它进行了记录,发现MrbMiner的目标是面向互联网的MSSQL服务器,目的是安装一个加密矿工,该矿工劫持了系统的处理能力,可以挖掘Monero并将其汇入攻击者控制的帐户。
该黑客组织用来托管其恶意挖矿软件的域之一是“ MrbMiner”的名称。
研究人员表示: “在许多方面,MrbMiner的操作似乎是我们针对面向互联网服务器的大多数cryptominer攻击的典型代表。这里的区别在于,攻击者在隐瞒其身份时似乎非常谨慎。与该矿工的配置,其域和IP地址有关的许多记录都指向单个起源点:位于伊朗的软件公司。”
MrbMiner通过使用弱密码的各种组合对MSSQL服务器的admin帐户进行暴力攻击来确定其任务。
获得访问权限后,将下载名为“ assm.exe”的特洛伊木马程序以建立持久性,添加后门帐户以供将来访问(用户名:默认值,密码:@ fg125kjnhn987),并检索在加密机上运行的Monero(XMR)加密货币矿工有效负载。目标服务器。
安全人员称,这些有效负载(以sys.dll,agentx.dll和hostx.dll等各种名称调用)是故意错误命名的ZIP文件,每个文件都包含矿工二进制文件和配置文件等。
考虑到匿名性,加密劫持攻击通常更难以归因,但是对于MrbMiner来说,攻击者似乎犯了错误,将有效负载位置和命令和控制(C2)地址硬编码到下载器中。
有问题的域名之一“ vihansoft [。] ir ”不仅已注册到伊朗软件开发公司,而且有效载荷中包含的已编译矿工二进制文件还留下了明显的迹象,该迹象表明该恶意软件已将其连接到现已关闭的GitHub帐户,用于托管它。
佛山市东联科技有限公司安全研究人员透露:“加密劫持是一种无声且无形的威胁,易于实施且很难检测到。此外,一旦系统遭到入侵,它就为勒索软件等其他威胁打开了大门。因此,重要的是不要停止加密劫持。要注意一些迹象,例如计算机速度和性能下降,用电量增加,设备过热以及对CPU的需求增加。” (欢迎转载分享)