Phần mềm độc hại lây nhiễm hàng ngàn máy chủ SQL của Microsoft

Hãng bảo mật Tencent cho biết, nhóm tin tặc đã hoạt động trong vài tháng qua bằng cách tấn công vào các máy chủ SQL của Microsoft để xâm nhập và cài đặt một ứng dụng đào tiền ảo (crypto-miner) có tên MrbMiner.

"Trung tâm tình báo về mối đe dọa bảo mật của Tencent đã phát hiện một kiểu khai thác MrbMiner mới thuộc họ Trojan. Chúng thực hiện tấn công thông qua mật khẩu yếu của máy chủ SQL, sau khi xâm nhập thành công, chúng phát tán chương trình độc hại Trojan horse assm.exe viết bằng ngôn ngữ lập trình C# trên hệ thống mục tiêu, rồi tải về và duy trì Trojan khai thác Monero (một loại tiền tệ tương tự như Bitcoin)".

Những kẻ tấn công sử dụng botnet để nhắm mục tiêu vào hàng nghìn cài đặt trên máy chủ SQL của Microsoft. Tên của phần mềm độc hại MrbMiner được đặt theo những tên miền được sử dụng để lưu trữ mã độc.

Sau khi chiếm được quyền truy nhập vào hệ thống, nhóm tin tặc tải xuống một tệp tin assm.exe và bổ sung thêm tài khoản "cửa hậu" để truy cậy sau này. Các nhà nghiên cứu của Tencent đã quan sát việc sử dụng tài khoản có tên người dùng là "Defaul" và mật khẩu là "@fg125kjnhn987."

Sau khi tạo tài khoản, mã độc kết nối tới máy chủ điều khiển và ra lệnh (C&C) để tải về một công cụ khai thác tiền điện tử Monero (XMR) chạy trên máy chủ nội bộ. Ví Monero được sử dụng cho phiên bản MbrMiner được triển khai trên các máy chủ SQL của Microsoft chứa 7 XMR (tương đương 630 USD).

Một trong những điểm thú vị nhất của kiểu tấn công mới này là các nhà nghiên cứu phát hiện trên máy chủ C&C có biến thể của phần mềm độc hại MrbMiner được thiết kế để nhắm mục tiêu vào các máy chủ Linux và các hệ thống dựa trên ARM.

Tuy tại thời điểm đó, các chuyên gia bảo mật của Tencent chỉ quan sát thấy các cuộc tấn công vào các máy chủ SQL của Microsoft, nhưng những phân tích phiên bản Linux cho thấy một ví Monero chứa 3.38 XMR (tương đương 300 USD), như vậy các phiên bản Linux đã bị ảnh hưởng trong chiến dịch này.

Theo phân tích, các chuyên gia bảo mật của Tencent cũng phát hiện một Trojan khai thác dựa trên nền tảng của Linux và nền tảng ARM trên máy chủ FPT ftp[:]//145.239.225.15 của tin tặc.

Các nhà nghiên cứu đã công bố những bằng chứng về dấu vết tấn công của chiến dịch này. Các chuyên gia khuyến nghị những quản trị viên nên kiểm tra các máy chủ SQL của họ để biết sự diện diện của tài khoản Default/@fg125kjnhn987 .