Источником атак криптомайнера MrbMiner оказался иранский разработчик ПО

[Artifact]

Кампания была выявлена в сентябре 2020 года, когда злоумышленники начали загружать и устанавливать криптомайнер на тысячи SQL-серверов.

Исследователи безопасности из Sophos обнаружили связь между вредоносной кампанией по заражению SQL-серверов с целью добычи криптовалюты и иранской фирмой-разработчиком программного обеспечения. Кампания, получившая название MrbMiner, была выявлена в сентябре 2020 года, когда злоумышленники начали загружать и устанавливать криптомайнер на тысячи SQL-серверов.
«Название иранской компании-разработчика программного обеспечения было встроено в основном файле конфигурации майнера. Домен связан со многими другими zip-файлами, также содержащими копии майнера, а zip-файлы, в свою очередь, были загружены с других доменов, одним из которых является mrbftp.xyz», — пояснили эксперты.
Остается неизвестным, каким именно образом вредоносная программа попала на серверы баз данных. Тем не менее, эксперты указали на возможные техники, используемые ботнетами MyKings или Lemon_Duck. Оба ботнета используют различные неисправленные уязвимости в системах с некоторыми дополнительными приемами.
После загрузки на системе файлы конфигурации и полезная нагрузка криптомайнера распаковываются. Процесс сервера Microsoft SQL (sqlservr.exe) сначала запускает файл с именем assm.exe, который представляет собой троян и выполняет роль загрузчика. Затем Assm.exe загружает полезную нагрузку криптомайнера с web-сервера и подключается к C&C-серверу, чтобы сообщить об успешной загрузке и запуске майнера.
«В большинстве случаев полезной нагрузкой был файл sys.dll, который (несмотря на его суффикс) был не DLL-библиотекой Windows, а zip-архивом, содержащим двоичный файл криптомайнера, файл конфигурации и пр.», — отметили специалисты.
В отличие от других атак с использованием криптомайнеров, нацеленных на SQL-серверы, операторы данной кампании не слишком переживали о сокрытии своей личности. Исследователи обнаружили множество записей, касающихся конфигурации майнера, его доменов и IP-адресов, которые указывали на одну точку происхождения — неназванную небольшую компанию-разработчика программного обеспечения, базирующуюся в Иране. Например, сервер, используемый для размещения полезной нагрузки для кампании, также размещал домен (vihansoft.ir), который представляет собой web-сайт, связанный с компанией-разработчиком программного обеспечения.