Cercetătorii au urmărit originile unei campanii – ce a avut ca scop infectarea serverelor SQL pentru a extrage criptomonede – către o firmă de software iraniană.

Cercetătorii au făcut noi descoperiri în jurul sursei unei operațiuni de criptominare nedescoperite anterior care a vizat servere de baze de date orientate spre internet.

Campania, numită MrbMiner, a fost descoperită în septembrie 2020 descărcând și instalând un cryptominer pe mii de servere SQL. Acum, cercetătorii cu Sophos au urmărit originea campaniei către ceea ce susțin că este o mică companie de dezvoltare software cu sediul în Iran.

„Numele unei companii de software din Iran a fost codificat în fișierul principal de configurare al minerului”, au declarat cercetătorii împreună cu Sophos într-o analiză. „Acest domeniu este conectat la multe alte fișiere zip care conțin și copii ale minerului. Aceste fișiere zip au fost la rândul lor descărcate de pe alte domenii, dintre care unul este mrbftp.xyz. ”

Cercetătorii au spus că înregistrările lor nu dezvăluie exact cum malware-ul a câștigat o poziție pe serverele de baze de date. Cu toate acestea, au indicat tehnicile utilizate de botnetul de atac MyKings SQL sau botnetul de criptomonede Lemon_Duck ca o posibilitate. Ambele rețele se confruntă cu diverse vulnerabilități  în sisteme, cu câteva infecții suplimentare.

Imediat descărcate pe sistem, încărcătura cryptominer și fișierele de configurare sunt despachetate. Un proces Microsoft SQL server (sqlservr.exe) lansează mai întâi un fișier numit assm.exe, care este un troian ce servește ca program de descărcare. Assm.exe descarcă apoi sarcina utilă cryptominer de pe un server web și se conectează la serverul său de comandă și control pentru a raporta descărcarea și execuția cu succes a minerului.



„În majoritatea cazurilor, sarcina utilă era un fișier numit sys.dll, care (în ciuda sufixului său de fișier) nu era un DLL Windows, ci o arhivă zip conținând un cryptominer, un fișier de configurare și fișiere conexe”, au spus cercetătorii.

Link-uri

Deși atacul părea unul tipic pentru majoritatea atacurilor criptominer care vizează servere, ceea ce îl deosebește este că atacatorul „nu au fost prea prudenți cu privire la ascunderea identității lor”, a declarat Gabor Szappanos, director de cercetare a amenințărilor la Sophos Labs.

Cercetătorii au descoperit o serie de înregistrări referitoare la configurația minerului, domeniile și adresele IP care indicau un singur punct de origine: o mică companie de software (fără nume) cu sediul în Iran. De exemplu, un indiciu fost că serverul utilizat pentru a găzdui sarcinile utile pentru campanie a găzduit și un domeniu (vihansoft.ir), care este un site legat de compania de software.

„Am găsit o referință la afacerea din spatele vihansoft.ir pe site-ul de cartografiere în limba persană neshan.org”, au spus cercetătorii. „Similar cu Google Maps sau Waze, Neshan include informații despre afaceri ca parte a serviciilor sale de cartografiere și o intrare pentru o companie care listează vihansoft.ir drept site-ul său web, declară directorul general.”

Cercetătorii au remarcat că criptojacking-ul este utilizat de persoane care trăiesc în țări precum Iranul, deoarece sunt supuse unor sancțiuni financiare internaționale stricte de către SUA, pentru a ocoli sistemul bancar tradițional.

Servere: țintă pentru criptojacking

În timp ce mulți atacatori vizează computerele cu malware-ul lor de criptominare, cercetătorii au subliniat că serverele de baze de date sunt o țintă atractivă pentru atacatori, deoarece acestea sunt utilizate pentru procese ce utilizează resurse mari și, astfel, conțin capacități de procesare puternice.

Administratorii IT care găzduiesc o bază de date au nevoie de cerințe semnificative de performanță, inclusiv capacitatea de a procesa cantități mari de citire și scriere de date, precum și memorii ridicate de RAM și procesoare puternice pentru a răspunde rapid la interogări, au spus cercetătorii.

„Drept urmare, serverele care găzduiesc baze de date se încadrează în partea mai slabă a scării de performanță, motiv pentru care sunt o țintă excelentă pentru atacatorii ale căror obiective includ distribuirea minerilor de criptomonede”, au spus cercetătorii.

Atacatorii au prins avânt în ultimii ani. În 2019, până la 50.000 de servere au fost infectate ca parte a unei campanii de criptojacking, o campanie ce se consideră că ar fi fost organizată de către chinezi. În 2018, MassMiner a apărut pentru a viza serverele Windows cu diferite exploit-uri bine cunoscute, toate într-un singur executabil – inclusiv instrumentul de hacking EternalBlue NSA.



0 0 vote
Article Rating
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments