Компания по кибербезопасности Sophos заявляет, что обнаружила доказательства, связывающие операторов ботнета крипто-майнинга MrbMiner с небольшой иранской компанией-разработчиком. программного обеспечения., эксплуатируемый городом Шираз. По словам исследователей, ботнет MrbMiner работает с лета 2020 года, тогда как впервые он был упомянут в отчете Безопасность Tencent в сентябре того же года.
Tencent заявила, что заметила работу ботнета для майнинга криптовалюты MrbMiner. перебор нападения на Microsoft SQL-серверы (MSSQL) базы данных, для доступа к учетным записям администраторов с низким уровнем безопасности. Как только он смог получить доступ, ботнет создал задняя дверь счет с По умолчанию / @ fg125kjnhn987 Полномочия и скачал и установил майнер криптовалюты с доменов таких как mrbftp.xyz или mrbfile.xyz.
В отчете, опубликованном 21 января, исследователи Sophos заявили, что они тщательно проанализировали методы работы этого ботнета. Они осмотрели их вредоносных программ полезные нагрузки, данные домена и информация сервер и обнаружил несколько улик, которые привели их к выводу, что за этой злонамеренной «операцией» стоит иранская организация.
В частности, исследователи Sophos Эндрю Брандт и Габор Саппанос отметили следующее: "Когда мы видим веб-домены, принадлежащие законному бизнесу, который вовлечен в атаку, гораздо более вероятно, что злоумышленники просто злоупотребляли сайтом (в большинстве случаев временно), чтобы использовать его возможности веб-хостинга для создания «Тупик», где они могут размещать вредоносные программы. Однако в этом случае владелец домена участвует в распространении вредоносного ПО ».
Согласно ZDNet, Sophos отметил, что многие домены MbrMiner, на которых размещались полезные данные криптомайнера, находились на том же сервере, на котором размещался imanlive.com, сайт законной компании по разработке программного обеспечения из Ирана.
Кроме того, домен vihansoft.ir использовался в качестве C&C сервера для бизнеса ботнета крипто-майнинга MrbMiner, а также размещал вредоносные полезные нагрузки, которые были получены и созданы в скомпрометированных базах данных.
Одна из причин, по которой иранская компания не обратила особого внимания на то, чтобы лучше заметать следы, связана с ее местоположением. В последние годы иранские киберпреступники стали более безразличными и беспечными, поскольку они понимают, что иранское правительство не будет выдавать своих граждан западным правительствам.
Среди самых известных хакерских банд, связанных с Ираном, есть банды Сэм Сэм и Pay2Key вымогатели, а также команда фишинг «Молчаливый библиотекарь», однако есть много других более мелких криминальных компаний.
Стоит отметить, что, несмотря на отчет, опубликованный Sophos, ожидается, что ботнет-бизнес MrbMiner продолжит нормальную работу без каких-либо последствий.
Greek
Chinese (Simplified)
English
Greek
Russian