主页保安Sophos:“ MrbMiner加密采矿僵尸网络背后的伊朗公司”!

Sophos:“ MrbMiner加密采矿僵尸网络背后的伊朗公司”!

网络安全公司Sophos表示已发现证据,证明将MrbMiner加密采矿僵尸网络运营商与伊朗的一家小型精品开发公司联系起来 软件,由设拉子(Shiraz)市经营。 根据研究人员的说法,MrbMiner僵尸网络自2020年夏季以来一直在运行,而僵尸网络的一份报告中首次提到了它。 腾讯安全 在同年XNUMX月。

Sophos的

腾讯表示已经注意到MrbMiner加密矿僵尸网络正在运行 蛮力 攻击 微软 SQL服务器(MSSQL) 数据库,以访问安全性较低的管理员帐户。 僵尸网络一获得访问权限,便创建了一个 后门 默认值/ @ fg125kjnhn987 证书 并从以下位置下载并安装了一个加密货币矿工 域名 喜欢的 mrbftp.xyz 或者 mrbfile.xyz.

Sophos研究人员在21月XNUMX日发布的报告中说,他们已经深入分析了该僵尸网络的作案手法。 他们检查了他们 恶意软件 有效载荷,域数据和信息 服务器 并找到了一些线索,使他们得出结论,认为这次恶意“行动”的背后是伊朗实体。

Sophos:“ MrbMiner加密采矿僵尸网络背后的伊朗公司”!

更具体地说,Sophos研究人员Andrew Brandt和Gabor Szappanos指出了以下几点: “当我们看到涉及攻击的合法企业的网站域时,攻击者很可能只是滥用网站(在大多数情况下是临时性的)来使用其网站托管功能来创建网站。他们可以在其中托管恶意软件有效负载的“死区”。 但是,在这种情况下,域所有者会参与恶意软件的传播。”

根据ZDNet,Sophos指出,许多托管cryptominer有效负载的MbrMiner域都位于托管该服务器的同一服务器上。 imanlive.com,这是位于伊朗的合法软件开发公司的网站。

Sophos:“ MrbMiner加密采矿僵尸网络背后的伊朗公司”!

此外,域vihansoft.ir用作MrbMiner加密矿僵尸网络业务的C&C服务器,同时它还托管恶意负载,这些负载已下载并部署到受感染的数据库中。

这家伊朗公司之所以不重视更好地掩盖其足迹的原因之一是因为其地理位置。 近年来,伊朗网络犯罪分子变得越来越冷漠和粗心,因为他们意识到伊朗政府不会将其公民引渡到西方政府。

MrbMiner加密采矿僵尸网络背后的伊朗公司

与伊朗有关的最臭名昭著的黑客团伙是 讪讪 και Pay2Key 勒索软件以及团队 钓鱼 “沉默的图书管理员”,但是,还有许多其他较小的犯罪公司。

值得注意的是,尽管Sophos发布了报告,但MrbMiner僵尸网络业务有望继续正常运行,而不会遭受任何后果。

Pohackontas
Pohackontashttps://www.secnews.gr
每一项成就都始于尝试的决定。
spot_img

实时新闻