Sophos isimli siber güvenlik firması, yaptığı araştırmada kripto para madenciliği için kullanılan bir malware (kötü amaçlı yazılım) için yaptığı araştırmada, MrbMiner isimli yazılımın SQL makineleri hedef aldığını keşfetti. Monero (XMR) madenciliği için kullanıldığı belirtilen yazılımın, internete bağlı olan sunucuları hedef aldığı aktarıldı.
Kodlarda izleri çıktı
Yazılım için yapılan analizde ise yapılandırmanın, etki alanlarının ve IP adreslerinin İran merkezli bir yazılım firmasına işaret ettiği fark edildi.
MrbMiner’ın, MSSQL sunucusunun yönetici hesabına çeşitli zayıf parola kombinasyonları ile kaba kuvvet saldırısı (bruth force) yaptığı kaydedildi. Erişim sağlandıktan sonra da ‘assm.exe’ isimli bir Truva atının indirildiği ve gelecekte kullanılmak üzere bir arka kapı hesabı oluşturulduğu belirtildi. Bu hesabın kullanıcı adının “default” ve parolasının “@fg125kjnhn987” olduğu aktarıldı. Bundan sonra da Monero kripto para madenciliği yapılmaya başlandığı belirtildi.
Araştırma yapan firma sys.dll, agentx.dll ve hostx.dll gibi çeşitli isimlerle bulunan zararlı dosyaların bulunduğunu ve bilerek yanlış konfigüre edilen bir zip dosyasının oluşturulduğunu belirledi.
Editör : SavunmaTR Haber Merkezi