Sophos deckt Kryptominer auf

Das jetzt von Sophos aufgedeckte MrbMiner-Botnetz ist seit dem Sommer 2020 in Betrieb. Es wurde erstmals im September letzten Jahres in einem Bericht von Tencent Security detailliert beschrieben. Laut Tencent startete MrbMiner Brute-Force-Angriffe auf Microsoft SQL Server (MSSQL)-Datenbanken, um Zugang zu schwach gesicherten Administratorkonten zu erhalten.

Sobald das Botnet eingedrungen war, erstellte es ein Backdoor-Konto mit den Anmeldedaten Default/@fg125kjnhn987 und lud einen Kryptominer von Domains wie mrbftp.xyz oder mrbfile.xyz herunter und installierte ihn.

In dem Bericht von Sophos haben Forscher heute den Modus Operandi dieses Botnets genauer analysiert. Sie untersuchten die Malware-Payloads, Domain-Daten und Server-Informationen und fanden mehrere Hinweise, die sie zu einem legitimen iranischen Unternehmen zurückführten.

„Wenn wir sehen, dass Web-Domains, die zu einem legitimen Unternehmen gehören, in einen Angriff verwickelt sind, ist es viel üblicher, dass die Angreifer einfach eine Website ausnutzen, um (vorübergehend, in den meisten Fällen) ihre Web-Hosting-Funktionen zu nutzen, um einen toten Punkt zu schaffen, an dem sie die Malware-Nutzlast hosten können“, erklären die Sophos Forscher Andrew Brandt und Gabor Szappanos. „Aber in diesem Fall ist der Besitzer der Domain in die Verbreitung der Malware verwickelt.“

Laut Sophos werden mehrere MbrMiner-Domains, die zum Hosten der Cryptominer-Payloads verwendet wurden, auf demselben Server gehostet, der zum Hosten von vihansoft.ir verwendet wird, der Website einer legitimen im Iran ansässigen Software-Entwicklungsfirma.

Darüber hinaus wurde die Domain vihansoft.ir auch als Command-and-Control (C&C)-Server für die MbrMiner-Operation verwendet und wurde auch als Host für bösartige Nutzdaten gesehen, die heruntergeladen und auf gehackten Datenbanken bereitgestellt wurden.

„In vielerlei Hinsicht scheint die Vorgehensweise von MrbMiner typisch für die meisten Kryptominer-Attacken zu sein, die wir gesehen haben und die auf Server im Internet abzielen“, sagt Gabor Szappanos, Threat Research Director, SophosLabs. „Der Unterschied ist, dass der Angreifer anscheinend alle Vorsicht in den Wind geschlagen hat, wenn es darum geht, seine Identität zu verschleiern. Viele der Datensätze, die sich auf die Konfiguration des Miners, seine Domains und IP-Adressen beziehen, deuten auf einen einzigen Ursprungsort hin: ein kleines Software-Unternehmen mit Sitz im Iran.

„Im Zeitalter millionenschwerer Ransomware-Angriffe, die Unternehmen in die Knie zwingen, kann es leicht sein, Cryptojacking eher als Ärgernis denn als ernsthafte Bedrohung abzutun, aber das wäre ein Fehler. Cryptojacking ist eine stille und unsichtbare Bedrohung, die einfach zu implementieren und sehr schwer zu erkennen ist. Außerdem ist ein einmal kompromittiertes System eine offene Tür für andere Bedrohungen, wie z. B. Ransomware. Daher ist es wichtig, Cryptojacking von Anfang an zu stoppen. Achten Sie auf Anzeichen wie eine Verringerung der Computergeschwindigkeit und -leistung, erhöhten Stromverbrauch, überhitzte Geräte und erhöhte Anforderungen an die CPU.“

Einer der Gründe, warum sich das iranische Unternehmen nicht die Mühe gemacht hat, seine Spuren besser zu verwischen, liegt an seinem Standort. In den letzten Jahren sind iranische Cyberkriminelle immer dreister und unvorsichtiger geworden, da sie erkannt haben, dass die iranische Regierung ihre Bürger nicht an westliche Regierungen ausliefert.

Zu den bemerkenswerten Cybercrime-Operationen, die in der Vergangenheit mit dem Iran in Verbindung gebracht wurden, gehören die Ransomware-Gruppen SamSam und Pay2Key sowie die Phishing-Gruppe Silent Librarian, um nur die bekanntesten zu nennen – obwohl es viele weitere kleinere Operationen gibt.

Trotz des Sophos Reports über die MrbMiner-Gruppe wird erwartet, dass das Botnet weiterhin ungestraft operieren kann.