암호화 채굴 기 악성 코드

작년에 수천 개의 Microsoft SQL Server(MSSQL) 데이터베이스를 감염시킨 비교적 새로운 암호화 채굴 악성코드가 이제 이란의 기반을 둔 소규모 소프트웨어와 연계되었다.

지난해 9월 중국의 거대 기술업체 텐센트가 처음으로 문서화한 MrbMiner는 시스템의 처리 능력을 탈취하여 모네로를 채굴하고 공격자가 제어하는 계정으로 이동시키는 크립토 마니어 설치를 목표로 인터넷 연결 MSSQL 서버를 표적으로 삼았다.

“MrbMiner”라는 이름은 악성 마이닝 소프트웨어를 호스팅 하기 위해 사용되는 도메인 중 하나로, SophosLabs의 위협 연구 책임자인 Gabor Szappanos는 “여러 측면에서 보았을 때 MrbMiner의 작업은 우리가 본 전형적인 크립토 마이너 공격으로 보인다. 그러나 차이점은 공격자가 자신의 신분을 숨기는 것에 조금 더 주의를 기울인 것으로 보인다.”고 언급하며, IP 원점을 봤을 때, 이란에 본사를 둔 소규모 소프트웨어 업체임을 밝혔다.

암호화 채굴 기 악성 코드

접근 권한을 얻으면 “assm.exe”라는 트로이 목마가 다운로드 되어 지속성 유지를 위해 접근을 위한 백도어 계정(사용자 이름: 기본값, 암호 : @fg125kjnhn987)을 추가하고 모네로 암호 화폐채굴 서버로 연결한다.

[출처 : TheHackerNews / 1.21.]