Malware "MrbMiner" ha infectado miles de bases de datos Microsoft SQL

El equipo de ciberseguridad de la corporación en tecnología de China Tencent público mediante un reporte, la detección de un nuevo malware de tipo de troyano que instala un minero MrbMiner en servidores de bases de datos Microsoft SQL (MSSQL). MrbMiner, es un troyano con la capacidad de instalar un minero (miner) de criptomonedas y evitar ser descubierto por los administradores de sistemas al ocultarse en el sistema afectado.


Según los investigadores de Tencent, la botnet encargada de propagar el malware está constantemente escaneando la internet por servidores MSSQL,  en el momento que encuentra un servidor expuesto, realiza múltiples intentos de inicio de sesión por fuerza bruta ingresando los usuarios administrativos por defecto y varias contraseñas débiles. Una vez los cibercriminales logran entrar en el sistema, descargan un archivo inicial llamado “assm.exe”, el cual es usado para establecer un mecanismo de inicio/reinicio de forma persistente, además que agrega una cuenta backdoor para poder acceder al sistema posteriormente, dicha cuenta backdoor posee las credenciales de usuario “Default” y una contraseña “@fg125kjnhn987”. Como últimos pasos para completar el proceso de infección, el malware se conecta con el servidor de comando y control (C2) y descarga una aplicación encargada de minar criptomonedas Monero (XMR), con el fin de abusar de los recursos del servidor afectado y generar cryptocoins XMR que tendrán como destino billeteras (wallets) controladas por los ciberdelincuentes.


Los expertos de Tencent destacaron que aunque ellos solo analizaron la infección en servidores MSSQL, el servidor C2 de MrbMiner también contenía una versión del malware para atacar servidores Linux y sistemas basados en ARM. 


Para saber si los actores maliciosos han logrado comprometer servidores con la versión Linux del malware, los analistas de Tencent identificaron una Monero Wallet en donde eran enviados las cryptocoins minadas, conteniendo 3.38 XMR (aproximadamente 300 dólares), confirmando que la versión Linux del malware fue distribuida anteriormente. Por otra parte, también rastrearon otra Monero Wallet usada en la versión para servidores MSSQL de MbrMiner con la cantidad de 7 XMR (aproximadamente 630 dólares). 


Aunque la suma de los fondos es poca, es bien sabido que los cibercriminales que realizan estos ataques utilizan múltiples billeteras, así que seguramente han generado ganancias mucho mayores con los recursos de los servidores comprometidos.




IoC (Indicadores de compromiso)


Direcciones IP

145.239.225[.]15

145.239.225[.]18

 

Dominios

mrbfile[.]xyz

vihansoft[.]ir

 

Comando y control (C2)

vihansoft.ir[:]3341

 

URL

http [:] // mrbfile.xyz/Hostz.zip

http [:] // mrbfile.xyz/PowerShellInstaller.exe

http [:] // mrbfile.xyz/sql/SqlServer.dll

http [:] // mrbfile.xyz/Agentz.zip

http [:] // mrbfile.xyz/Agenty.zip

http [:] // mrbfile.xyz/sql/syslib.dll

http [:] // mrbfile.xyz/sys.dll

http [:] // mrbfile.xyz/35/sys.dll

http [:] // mrbfile.xyz/Hosty.zip

http [:] // vihansoft.ir/sys.dll

https [:] // vihansoft.ir/Sys.dll

http [:] // vihansoft.ir/Agentx.zip

https [:] // vihansoft.ir/d.zip

http [:] // vihansoft.ir/k.exe

http [:] // vihansoft.ir/d.zip

https [:] // vihansoft.ir/Hostx.zip

http [:] // vihansoft.ir/p.zip

https [:] // vihansoft.ir/k.exe

https [:] // vihansoft.ir/Agentx.zip

https [:] // vihansoft.ir/vhost.tar.gz

https [:] // vihansoft.ir/P.zip

https [:] // github.com/farzadbehdad/poiuytrewq/blob/master/Sys.dll?raw=true

https [:] // vihanSoft.ir/Agent.zip

https [:] // vihanSoft.ir/host.zip

ftp [:] // 145.239.225.15/armv.tar.gz

ftp [:] // 145.239.225.15/linux-os.tar.gz

ftp [:] // 145.239.225.15/linuxservice.tar.gz

ftp [:] // 145.239.225.15/osx.tar.gz

ftp [:] // 145.239.225.15/vhost.tar.gz

ftp [:] // 145.239.225.15/xmr.tar.gz

ftp [:] // 145.239.225.15/arm.tar.gz

 

Hashes (MD5)

c79d08c7a122f208edefdc3bea807d64

6bcc710ba30f233000dcf6e0df2b4e91

ac72e18ad3d55592340d7b6c90732a2e

6c929565185c42e2e635a09e7e18fcc8

04612ddd71bb11069dd804048ef63ebf

68206d23f963e61814e9a0bd18a6ceaa

a5adecd40a98d67027af348b1eee4c45

c417197bcd1de05c8f6fcdbfeb6028eb

76c266d1b1406e8a5e45cfe279d5da6a

605b858b0b16d4952b2a24af3f9e8c8e

c3b16228717983e1548570848d51a23b

c10b1c31cf7f1fcf1aa7c79a5529381c

391694fe38d9fb229e158d2731c8ad7c

5d457156ea13de71c4eca7c46207890d

f1cd388489270031e659c89233f78ce9

54b14b1aa92f8c7e33a1fa75dc9ba63d

f9e91a21d4f400957a8ae7776954bd17

61a17390c68ec9e745339c1287206fdb

f13540e6e874b759cc3b51b531149003

2915f1f58ea658172472b011667053df

3cb03c04a402a57ef7bb61c899577ba4

f2d0b646b96cba582d53b788a32f6db2

5eaa3c2b187a4fa71718be57b0e704c9

8cf543527e0af3b0ec11f4a5b5970810

36254048a516eda1a13fab81b6123119

0a8aac558c77f9f49b64818d7ab12000

59beb43a9319cbc2b3f3c59303989111

ce8fdec586e258ef340428025e4e44fa

e4284f80b9066adc55079e8e564f448c

2f402cde33437d335f312a98b366c3c8

25a579dcc0cd6a70a56c7a4a0b8a1198

2d1159d7dc145192e55cd05a13408e9b

2dd8a0213893a26f69e6ae56d2b58d9d

0d8838116a25b6987bf83214c1058aad

0c883e5bbbbb01c4b32121cfa876d9d6

2d26ecc1fdcdad62e608a9de2542a1a6

27c91887f44bd92fb5538bc249d0e024

96b0f85c37c1523f054c269131755808

028f24eb796b1bb20b85c7c708efa497

 

Monero Wallet

49Bmp3SfddJRRGNW7GhHyAA2JgcYmZ4EGEix6p3eMNFCd15P2VsK9BHWcZWUNYF3nhf17MoRTRK4j5b7FUMA9zanSn9D3Nk


498s2XeKWYSEhQHGxdMULWdrpaKvSkDsq4855mCuksNL6ez2dk4mMQm8epbr9xvn5LgLPzD5uL9EGeRqWUdEZha1HmZqcyh

 

 


Fuente:

https://www.zdnet.com/article/new-mrbminer-malware-has-infected-thousands-of-mssql-databases/?&web_view=true



COMENTARIOS

Nombre

Actualización,3,Actualizaciones,4,Adobe,2,Adware,3,AgentTesla,1,android,31,Antivirus,3,Apache,1,APP,1,Apple,16,Apps,13,APT,1,Arkavia Networks,15,asus,1,Ataques,7,Azure,2,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,6,BCE,1,Bluetooth,1,bootHole,1,Botnet,6,Botnet. Malware,1,Check Point,3,Chips,1,Chrome,3,Ciberataque,4,Cibercrimen,135,Ciberdelincuencia,9,ciberseguridad,141,Cisco,3,Citrix,5,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,Consejos,1,CONVID,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,7,CSP,1,CTF,1,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,3,Data Leak,11,Database,2,Datos,2,DDoS,4,Deep Web,5,dlink,1,DNS,1,Domains,1,DoS,1,Ecommerce,3,elasticsearch,1,Email,2,Emotet,2,Empresas,113,enrutadores,1,Estadisticas,1,evento,1,Eventos,6,Evilnum,1,Exchange,2,exploit,7,Exploits,11,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,1,Fintech,1,Firewall,1,Firmware,2,Flash,1,Framework,1,Freta,1,GARMIN,2,Glueball,1,Gmail,3,GoDaddy,1,google,34,GPS,2,GRUB2,1,Hacking,83,Hardware,7,Hosting,3,HTML5,1,HTTP,1,IBM,1,IGMP,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,IOC,1,ios,5,IoT,4,ipad,1,iphone,1,ISO,1,Joomla,1,LG,1,Linux,9,LSASS,1,Macromedia,1,Malware,45,Malwares,32,Maze,1,Messenger,1,MFA,1,Microsoft,37,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,Nacional,10,NAS,2,Negocios,2,Netgear,1,Node.js,1,Openwrt,1,Oracle,2,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,16,Plugins,1,PoC,2,Protocolos,12,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,18,RAT,2,RCE,2,RDP,3,Recomendaciones,16,Redes,30,redes sociales,12,Redhat,1,Remoto,1,Rookit,1,Rootkit,1,Routers,3,RRSS,2,Salt,1,Salud,2,SeguridadTI,1,Servicios,6,Smartphones,29,SMB,5,Software,23,Sophos,1,Spambot,1,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Teams,1,TeamViewer,1,Tplink,1,Trickbot,1,Trojan,2,Troyano,3,Update,5,updates,22,USB,1,Videoconferencia,1,VNC,1,VPN,3,Vulnerabilidad,34,Vulnerabilidades,76,Web,8,WhatsApp,5,wifi,5,Windows,19,Wordpress,4,Xerox,1,XG,1,Yahoo,1,zeroday,3,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Malware "MrbMiner" ha infectado miles de bases de datos Microsoft SQL
Malware "MrbMiner" ha infectado miles de bases de datos Microsoft SQL
https://1.bp.blogspot.com/-QO7fuaPE2WM/X2Kin46G-QI/AAAAAAAACSE/yIDbaN_Tgkkl1O1x05zH1hmSn_8QvwPAgCLcBGAsYHQ/w640-h320/Troyan%2BMrbMiner%2Bafect%2BMSSQL%2Bservers.jpg
https://1.bp.blogspot.com/-QO7fuaPE2WM/X2Kin46G-QI/AAAAAAAACSE/yIDbaN_Tgkkl1O1x05zH1hmSn_8QvwPAgCLcBGAsYHQ/s72-w640-c-h320/Troyan%2BMrbMiner%2Bafect%2BMSSQL%2Bservers.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/09/malware-mrbminer-ha-infectado-miles-de.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/09/malware-mrbminer-ha-infectado-miles-de.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy