El equipo de ciberseguridad de la corporación en tecnología de China Tencent público mediante un reporte, la detección de un nuevo malware de tipo de troyano que instala un minero MrbMiner en servidores de bases de datos Microsoft SQL (MSSQL). MrbMiner, es un troyano con la capacidad de instalar un minero (miner) de criptomonedas y evitar ser descubierto por los administradores de sistemas al ocultarse en el sistema afectado.
Según los investigadores de Tencent, la botnet encargada de propagar el malware está constantemente escaneando la internet por servidores MSSQL, en el momento que encuentra un servidor expuesto, realiza múltiples intentos de inicio de sesión por fuerza bruta ingresando los usuarios administrativos por defecto y varias contraseñas débiles. Una vez los cibercriminales logran entrar en el sistema, descargan un archivo inicial llamado “assm.exe”, el cual es usado para establecer un mecanismo de inicio/reinicio de forma persistente, además que agrega una cuenta backdoor para poder acceder al sistema posteriormente, dicha cuenta backdoor posee las credenciales de usuario “Default” y una contraseña “@fg125kjnhn987”. Como últimos pasos para completar el proceso de infección, el malware se conecta con el servidor de comando y control (C2) y descarga una aplicación encargada de minar criptomonedas Monero (XMR), con el fin de abusar de los recursos del servidor afectado y generar cryptocoins XMR que tendrán como destino billeteras (wallets) controladas por los ciberdelincuentes.
Los expertos de Tencent destacaron que aunque ellos solo analizaron la infección en servidores MSSQL, el servidor C2 de MrbMiner también contenía una versión del malware para atacar servidores Linux y sistemas basados en ARM.
Para saber si los actores maliciosos han logrado comprometer servidores con la versión Linux del malware, los analistas de Tencent identificaron una Monero Wallet en donde eran enviados las cryptocoins minadas, conteniendo 3.38 XMR (aproximadamente 300 dólares), confirmando que la versión Linux del malware fue distribuida anteriormente. Por otra parte, también rastrearon otra Monero Wallet usada en la versión para servidores MSSQL de MbrMiner con la cantidad de 7 XMR (aproximadamente 630 dólares).
Aunque la suma de los fondos es poca, es bien sabido que los cibercriminales que realizan estos ataques utilizan múltiples billeteras, así que seguramente han generado ganancias mucho mayores con los recursos de los servidores comprometidos.
IoC (Indicadores de compromiso)
Direcciones IP
145.239.225[.]15
145.239.225[.]18
Dominios
mrbfile[.]xyz
vihansoft[.]ir
Comando y control (C2)
vihansoft.ir[:]3341
URL
http [:] // mrbfile.xyz/Hostz.zip
http [:] // mrbfile.xyz/PowerShellInstaller.exe
http [:] // mrbfile.xyz/sql/SqlServer.dll
http [:] // mrbfile.xyz/Agentz.zip
http [:] // mrbfile.xyz/Agenty.zip
http [:] // mrbfile.xyz/sql/syslib.dll
http [:] // mrbfile.xyz/sys.dll
http [:] // mrbfile.xyz/35/sys.dll
http [:] // mrbfile.xyz/Hosty.zip
http [:] // vihansoft.ir/sys.dll
https [:] // vihansoft.ir/Sys.dll
http [:] // vihansoft.ir/Agentx.zip
https [:] // vihansoft.ir/d.zip
http [:] // vihansoft.ir/k.exe
http [:] // vihansoft.ir/d.zip
https [:] // vihansoft.ir/Hostx.zip
http [:] // vihansoft.ir/p.zip
https [:] // vihansoft.ir/k.exe
https [:] // vihansoft.ir/Agentx.zip
https [:] // vihansoft.ir/vhost.tar.gz
https [:] // vihansoft.ir/P.zip
https [:] // github.com/farzadbehdad/poiuytrewq/blob/master/Sys.dll?raw=true
https [:] // vihanSoft.ir/Agent.zip
https [:] // vihanSoft.ir/host.zip
ftp [:] // 145.239.225.15/armv.tar.gz
ftp [:] // 145.239.225.15/linux-os.tar.gz
ftp [:] // 145.239.225.15/linuxservice.tar.gz
ftp [:] // 145.239.225.15/osx.tar.gz
ftp [:] // 145.239.225.15/vhost.tar.gz
ftp [:] // 145.239.225.15/xmr.tar.gz
ftp [:] // 145.239.225.15/arm.tar.gz
Hashes (MD5)
c79d08c7a122f208edefdc3bea807d64
6bcc710ba30f233000dcf6e0df2b4e91
ac72e18ad3d55592340d7b6c90732a2e
6c929565185c42e2e635a09e7e18fcc8
04612ddd71bb11069dd804048ef63ebf
68206d23f963e61814e9a0bd18a6ceaa
a5adecd40a98d67027af348b1eee4c45
c417197bcd1de05c8f6fcdbfeb6028eb
76c266d1b1406e8a5e45cfe279d5da6a
605b858b0b16d4952b2a24af3f9e8c8e
c3b16228717983e1548570848d51a23b
c10b1c31cf7f1fcf1aa7c79a5529381c
391694fe38d9fb229e158d2731c8ad7c
5d457156ea13de71c4eca7c46207890d
f1cd388489270031e659c89233f78ce9
54b14b1aa92f8c7e33a1fa75dc9ba63d
f9e91a21d4f400957a8ae7776954bd17
61a17390c68ec9e745339c1287206fdb
f13540e6e874b759cc3b51b531149003
2915f1f58ea658172472b011667053df
3cb03c04a402a57ef7bb61c899577ba4
f2d0b646b96cba582d53b788a32f6db2
5eaa3c2b187a4fa71718be57b0e704c9
8cf543527e0af3b0ec11f4a5b5970810
36254048a516eda1a13fab81b6123119
0a8aac558c77f9f49b64818d7ab12000
59beb43a9319cbc2b3f3c59303989111
ce8fdec586e258ef340428025e4e44fa
e4284f80b9066adc55079e8e564f448c
2f402cde33437d335f312a98b366c3c8
25a579dcc0cd6a70a56c7a4a0b8a1198
2d1159d7dc145192e55cd05a13408e9b
2dd8a0213893a26f69e6ae56d2b58d9d
0d8838116a25b6987bf83214c1058aad
0c883e5bbbbb01c4b32121cfa876d9d6
2d26ecc1fdcdad62e608a9de2542a1a6
27c91887f44bd92fb5538bc249d0e024
96b0f85c37c1523f054c269131755808
028f24eb796b1bb20b85c7c708efa497
Monero Wallet
49Bmp3SfddJRRGNW7GhHyAA2JgcYmZ4EGEix6p3eMNFCd15P2VsK9BHWcZWUNYF3nhf17MoRTRK4j5b7FUMA9zanSn9D3Nk
498s2XeKWYSEhQHGxdMULWdrpaKvSkDsq4855mCuksNL6ez2dk4mMQm8epbr9xvn5LgLPzD5uL9EGeRqWUdEZha1HmZqcyh
Fuente:
COMENTARIOS