Malware de SQL Server vinculado a una empresa de software iraní, los investigadores alegan - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Malware de SQL Server vinculado a una empresa de software iraní, los investigadores alegan

Hola y mil gracias por leerme. En el teclado Eduardo Arroyo y hoy vamos a hablar sobre Malware de SQL Server vinculado a una empresa de software iraní, los investigadores alegan

Malware de SQL Server vinculado a una empresa de software iraní, los investigadores alegan

Los investigadores han rastreado los orígenes de una campaña (infectar servidores SQL para minar criptomonedas) hasta una empresa de software iraní.

Los investigadores hicieron nuevos descubrimientos sobre el origen de una operación de minería de criptomonedas previamente descubierta que se dirigía a servidores de bases de datos con acceso a Internet.

La campaña, apodada MrbMiner, fue descubierto en septiembre de 2020 descargue e instale un criptominer en miles de servidores SQL. Ahora, los investigadores de Sophos han rastreado el origen de la campaña hasta lo que afirman ser una pequeña empresa de desarrollo de software con sede en Irán.

«El nombre de una empresa de software con sede en Irán se ha codificado en el archivo de configuración principal del minero», dijeron los investigadores de Sophos. en un análisis del jueves. “Este dominio está vinculado a muchos otros archivos zip que también contienen copias del minero. Estos archivos zip se descargaron a su vez de otros dominios, uno de los cuales es mrbftp.xyz. «

Los investigadores dijeron que sus registros no revelan exactamente cómo se apoderó el malware en los servidores de bases de datos. Sin embargo, señalaron las técnicas utilizadas por MyKings Botnet que ataca a la botnet de criptomonedas SQL o Lemon_Duck como una posibilidad. Ambas redes de bots explotan varias vulnerabilidades no parcheadas en los sistemas, con algunos trucos de vectores de infección adicionales bajo la manga (incluida la fuerza bruta de la contraseña del protocolo de escritorio remoto para Lemon Duck).

Una vez descargado en el sistema, la carga útil y los archivos de configuración del criptominer se descomprimen. Un proceso de servidor Microsoft SQL (sqlservr.exe) inicia primero un archivo llamado assm.exe, que es un troyano que actúa como descargador. Assm.exe luego descarga la carga útil de cryptominer desde un servidor web y se conecta a su servidor de comando y control (C2) para informar que el minero se ha descargado y ejecutado.

«En la mayoría de los casos, la carga útil era un archivo llamado sys.dll, que (a pesar de su sufijo de archivo) no era una DLL de Windows sino un archivo zip que contenía un binario cryptominer, un archivo de configuración y archivos relacionados», dijeron dijeron los investigadores.

Si bien el ataque parecía típico de la mayoría de los ataques de criptomineros dirigidos a servidores conectados a Internet, lo que lo distingue es que el atacante «parece haber tomado precauciones para ocultar su identidad al viento», dijo Gabor Szappanos. Director de investigación de amenazas de Sophos Labs.

Los investigadores descubrieron una serie de registros relacionados con la configuración, los dominios y las direcciones IP del minero que apuntaban a un único punto de origen: una pequeña empresa de software (sin nombre) con sede en Irán. Por ejemplo, una revelación fue que el servidor utilizado para alojar las cargas útiles de la campaña también albergaba un dominio (vihansoft.ir), que es un sitio web relacionado con la empresa de software.

«Encontramos una referencia a la actividad detrás de vihansoft.ir en el sitio de mapas en persa neshan.org», dijeron los investigadores. «Al igual que en Google Maps o Waze, Neshan incluye información de la empresa como parte de sus servicios de cartografía y la voz de una empresa que incluye vihansoft.ir como su sitio web y nombra a su director general».

Los investigadores señalaron que aquí las personas que viven en países como Irán que están bajo severas sanciones financieras internacionales de los Estados Unidos para evitar el sistema bancario tradicional.

Si bien muchos atacantes apuntan a las computadoras con su malware de cifrado, los investigadores señalaron que los servidores de bases de datos son un objetivo atractivo para los atacantes porque se utilizan para procesos que requieren muchos recursos y, por lo tanto, contienen potentes capacidades de procesamiento.

Los administradores de TI que albergan una base de datos necesitan requisitos de rendimiento significativos, incluida la capacidad de procesar grandes cantidades de lecturas y escrituras de datos, así como altos niveles de RAM y sobrecarga del procesador para responder rápidamente a las consultas, dijeron los investigadores.

«Como resultado, los servidores que albergan bases de datos se encuentran en el extremo más sólido de la escala de rendimiento, por lo que son un objetivo excelente para los atacantes cuyos objetivos incluyen el despliegue de mineros de criptomonedas», dijeron los investigadores.

Los atacantes lo han notado en los últimos años. En 2019, se infectaron hasta 50.000 servidores como parte de una campaña de criptojacking de alto perfil que se cree que fue orquestada por oponentes de habla china. En 2018, MassMiner surgió para apuntar a servidores Windows con varias vulnerabilidades conocidas, todo dentro de un solo ejecutable, incluida la herramienta de pirateo NSA EternalBlue.

.

No te olvides compartir en tus redes sociales para que tus amigos lo flipen

??? ? ? ???

Comparte