Малварь MrbMiner связали с иранскими разработчиками ПО - «Новости» » Интернет технологии
sitename
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Малварь MrbMiner связали с иранскими разработчиками ПО - «Новости»

Компания Sophos заявила, что обнаружила доказательства, связывающие операторов майнингового ботнета MrbMiner с небольшой компанией по разработке программного обеспечения, работающей в Иране.


Вредонос MrbMiner и одноименная группировка, создавшая его, были впервые замечены еще летом прошлого года, а первый анализ этой угрозы прошлой осенью опубликовали специалисты Tencent Security. MrbMiner, используется для установки криптовалютных майнеров на серверы Microsoft SQL (MSSQL), и по данным экспертов, осенью этой малварью были заражены тысячи баз MSSQL.


Ботнет расширяется исключительно за счет сканирования интернета в поисках серверов MSSQL и последующих брутфорс-атак на них. Также неоднократно были замечены попытки использования учетной записи администратора с различными слабыми паролями.


Проникнув в систему, операторы малвари загружают файл assm.exe, который затем используют, чтобы закрепиться в системе и создать новую учетную запись, представляющую собой бэкдор для будущего доступа. Эта учетная запись, как правило, использует имя пользователя Default и пароль @fg125kjnhn987. Последним этапом заражения становится подключение C&C-серверу и загрузка приложения, которое добывает криптовалюту Monero (XMR), используя мощности зараженной системы.


Теперь аналитики Sophos пишут, что изучили методы работы ботнета более глубоко. Они проанализировали пейлоады малвари, домены и управляющие серверы, и обнаружили ряд улик, которые помогли связать MrbMiner с законным иранским бизнесом.


«Когда мы видим, что домены, принадлежащие законному бизнесу, участвуют в атаке, чаще всего это означает, что злоумышленники воспользовались сайтом компании (в большинстве случаев временно), чтобы использовать его как хостинг для создания “мертвой зоны”, где они могут разместить свое вредоносное ПО. Однако в этом случае владелец домена явно замешан в распространении малвари, — рассказывают эксперты. — Злоумышленники, похоже, бросили осторожность. Многие записи, относящиеся к конфигурации майнера, его доменам и IP-адресам, указывают на единственную исходную точку: небольшую софтверную компанию, базирующуюся в Иране».


Дело в том, что сразу несколько доменов MbrMiner, используемых для хостинга пейлоадов, размещались на одном сервере, где также хостится сайт vihansoft[.]ir, принадлежащий иранской фирме, занимающейся разработкой ПО. При этом домен vihansoft[.]ir тоже использовался в качестве управляющего сервера для MbrMiner, а также участвовал в размещении полезных нагрузок, которые затем разворачивали во взломанных базах данных.


Похоже, иранская компания не озаботилась заметанием следов в силу того, что иранские власти практически не сотрудничают с западными правоохранителями, и хакерам вряд ли стоит опасаться ареста и экстрадиции.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Компания Sophos заявила, что обнаружила доказательства, связывающие операторов майнингового ботнета MrbMiner с небольшой компанией по разработке программного обеспечения, работающей в Иране. Вредонос MrbMiner и одноименная группировка, создавшая его, были впервые замечены еще летом прошлого года, а первый анализ этой угрозы прошлой осенью опубликовали специалисты Tencent Security. MrbMiner, используется для установки криптовалютных майнеров на серверы Microsoft SQL (MSSQL), и по данным экспертов, осенью этой малварью были заражены тысячи баз MSSQL. Ботнет расширяется исключительно за счет сканирования интернета в поисках серверов MSSQL и последующих брутфорс-атак на них. Также неоднократно были замечены попытки использования учетной записи администратора с различными слабыми паролями. Проникнув в систему, операторы малвари загружают файл assm.exe, который затем используют, чтобы закрепиться в системе и создать новую учетную запись, представляющую собой бэкдор для будущего доступа. Эта учетная запись, как правило, использует имя пользователя Default и пароль @fg125kjnhn987. Последним этапом заражения становится подключение C
CSS
запостил(а)
Carter
Вернуться назад

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: