Eine neue Malware hat Tausende von Microsoft SQL Server (MSSQL) Datenbanken sind bisher infiziert worden, so der Cybersicherheitsarm des chinesischen Technologieriesen Tencent.
In einem Anfang dieses Monats veröffentlichten Bericht (in chinesischer Sprache, kann mit Google Translate halbwegs verständlich ins Deutsche übersetzt werden) hat Tencent Security diese neue Malware-Gang MrbMiner genannt, nach einer der Domänen, die die Gruppe als Host für ihre Malware verwendet.
Das chinesische Unternehmen gibt an, dass sich das Botnetz ausschließlich dadurch verbreitet hat, dass es das Internet nach MSSQL-Servern durchsucht und dann Brute-Force-Angriffe durchführt, indem es das Administratorkonto wiederholt mit verschiedenen schwachen Passwörtern attackiert.
Sobald die Angreifer auf einem System Fuß gefasst hatten, luden sie eine anfängliche assm.exe-Datei herunter, die sie benutzten, um einen (Re-)Boot-Persistenzmechanismus einzurichten und ein Backdoor-Konto für den zukünftigen Zugriff hinzuzufügen. Tencent sagt, dass dieses Konto den Benutzernamen „Default“ und das Passwort „@fg125kjnhn987“ verwendet.
Der letzte Schritt des Infektionsprozesses bestand darin, eine Verbindung zum Kommando- und Kontrollserver herzustellen und eine Anwendung herunterzuladen, die die Kryptowährung Monero (XMR) durch Missbrauch lokaler Serverressourcen und Generierung von XMR-Münzen in Konten, die von den Angreifern kontrolliert werden, vermint.
Tencent Security sagt, dass sie zwar nur Infektionen auf MSSQL-Servern sahen, der MrbMiner C&C-Server jedoch auch Versionen der Malware der Gruppe enthielt, die für Linux-Server und ARM-basierte Systeme geschrieben wurden.
Nach der Analyse der Linux-Version der Malware MrbMiner sagten die Experten von Tencent, sie hätten eine Monero-Brieftasche identifiziert, in der die Malware Gelder generierte.
Die Adresse enthielt 3,38 XMR (ungefähr 300 Euro), was darauf hindeutet, dass die Linux-Versionen ebenfalls aktiv verbreitet wurden, obwohl Einzelheiten über diese Angriffe vorerst unbekannt sind.
Die Monero-Brieftasche, die für die auf MSSQL-Servern eingesetzte MbrMiner-Version verwendet wurde, enthielt 7 XMR (ungefähr 600 Euro). Obwohl die beiden Summen klein sind, ist bekannt, dass Krypto-Bergbaubanden mehrere Brieftaschen für ihre Operationen verwenden, und die Gruppe hat höchstwahrscheinlich viel größere Gewinne erzielt.
Vorerst müssen Systemadministratoren ihre MSSQL-Server auf das Vorhandensein des Hintertürkontos Default/@fg125kjnhn987 scannen. Falls sie Systeme finden, auf denen dieses Konto konfiguriert ist, werden vollständige Netzwerk-Audits empfohlen.
Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.
Probleme treten vor allem bei Nutzern von Outlook Web Access auf. Das optionale Hotfix-Update für…
Die Einladung zeigt einen zeichnenden Apple Pencil. Der wiederum deutet auf neue iPads hin. Es…
Die Richtlinie erhält 584 Ja-Stimmen und 3 Gegenstimmen. Das „Recht auf Reparatur“ beinhaltet unter bestimmten…
Die Tests basieren auf tatsächlich existierenden Sicherheitslücken. GPT-4 erreicht eine Erfolgsquote von 87 Prozent. Alle…
Vorstellung Im Jahr 2016 hat Marcus Krämer die Firma HostPress gegründet, da es zu diesem…
Die neue V-NAND-Generation bietet die derzeit höchste verfügbare Bit-Dichte. Samsung steigert auch die Geschwindigkeit und…