סופוס מזהה מקור איראני להתקפות נגד בסיסי נתונים
MrbMiner הוא כורה מטבעות קרפטוגרפיים שנחשף לאחרונה. השם של חברת התוכנה האיראנית קודד בקובץ ההגדרות הראשי של תוכנת הכרייה
עמי רוחקס דומבה
| 28/01/2021
bigstock
סופוס, מובילה גלובלית באבטחת מידע של הדור הבא, פרסמה דוח חדש אודות מתקפת MrbMiner. הדוח בשם "MrbMiner: Cryptojacking to bypass international sanctions", עוקב אחר מקור ההתקפות ומוביל לחברת פיתוח תוכנה קטנה באיראן.
MrbMiner הוא כורה מטבעות קרפטוגרפיים שנחשף לאחרונה, ואשר תוקף שרתים של בסיסי נתונים המחוברים לאינטרנט (SQL Server), בהם הוא מתקין כורה מטבעות. שרתים של בסיסי נתונים הם מטרות מושכות עבר כורים מכיוון שהם משמשים לצורך פעילות עתירת משאבים, ולכן יש להם יכולת עיבוד גבוהה.
SophosLabs מצאה כי התוקפים השתמשו במספר אפיקים כדי להתקין את תוכנת הכריה הזדונית על גבי שרת היעד. המטען הזדוני לכריית מטבעות בו השתמשו וקבצי ההגדרות נארזו בקבצי ארכיב מסוג ZIP בעלי שמות מטעים. השם של חברת התוכנה האיראנית קודד בקובץ ההגדרות הראשי של תוכנת הכרייה. הדומיין הזה מחובר לקבצי ZIP רבים אחרים אשר מכילים עותקים של תוכנת הכרייה. קבצי ZIP אלו הורדו אל השרתים מדומיינים אחרים, שאחד מהם הוא mrbftp.xyz.
"בדרכים רבות, הפעילות של MrbMiner נראית טיפוסית לרוב התקפות הכריה שראינו כנגד שרתים המחוברים לרשת", אמר גבור סזפנוס, מנהל אבטחת איומים, SophosLabs. "אבל כאן נראה שהתוקף הסיר כל מעטה של זהירות בכל הנוגע להסתרת הזהות שלו. רבות מהרשומות הקשורות להגדרות תוכנת הכרייה, כולל הדומיינים וכתובת ה-IP, מובילות למקור בודד: חברת תוכנה קטנה המבוססת באיראן".
"בעידן של מתקפות כופר בהיקפים של מיליוני דולרים, אשר מפילות ארגונים שלמים לברכיים, קל לבטל את ה-cryptojacking כמטרד, ולא לראות בו איום רציני. אבל זו תהיה טעות. Cryptojacking הוא איום שקט ובלתי נראה, שקל להטמיעו וקשה מאוד לזהותו. יותר מכך, ברגע שמערכת נפגעה, היא מהווה שער פתוח לאיומים אחרים, כגון תוכנות כופר. לכן, חשוב לעצור cyptojacking במקום. חפשו אחר סימנים כגון ירידה במהירות וביצועי המחשב, שימוש גובר בחשמל, חימום יתר של מכשירים ושימוש גובר ב-CPU".
MrbMiner הוא כורה מטבעות קרפטוגרפיים שנחשף לאחרונה. השם של חברת התוכנה האיראנית קודד בקובץ ההגדרות הראשי של תוכנת הכרייה
bigstock
סופוס, מובילה גלובלית באבטחת מידע של הדור הבא, פרסמה דוח חדש אודות מתקפת MrbMiner. הדוח בשם "MrbMiner: Cryptojacking to bypass international sanctions", עוקב אחר מקור ההתקפות ומוביל לחברת פיתוח תוכנה קטנה באיראן.
MrbMiner הוא כורה מטבעות קרפטוגרפיים שנחשף לאחרונה, ואשר תוקף שרתים של בסיסי נתונים המחוברים לאינטרנט (SQL Server), בהם הוא מתקין כורה מטבעות. שרתים של בסיסי נתונים הם מטרות מושכות עבר כורים מכיוון שהם משמשים לצורך פעילות עתירת משאבים, ולכן יש להם יכולת עיבוד גבוהה.
SophosLabs מצאה כי התוקפים השתמשו במספר אפיקים כדי להתקין את תוכנת הכריה הזדונית על גבי שרת היעד. המטען הזדוני לכריית מטבעות בו השתמשו וקבצי ההגדרות נארזו בקבצי ארכיב מסוג ZIP בעלי שמות מטעים. השם של חברת התוכנה האיראנית קודד בקובץ ההגדרות הראשי של תוכנת הכרייה. הדומיין הזה מחובר לקבצי ZIP רבים אחרים אשר מכילים עותקים של תוכנת הכרייה. קבצי ZIP אלו הורדו אל השרתים מדומיינים אחרים, שאחד מהם הוא mrbftp.xyz.
"בדרכים רבות, הפעילות של MrbMiner נראית טיפוסית לרוב התקפות הכריה שראינו כנגד שרתים המחוברים לרשת", אמר גבור סזפנוס, מנהל אבטחת איומים, SophosLabs. "אבל כאן נראה שהתוקף הסיר כל מעטה של זהירות בכל הנוגע להסתרת הזהות שלו. רבות מהרשומות הקשורות להגדרות תוכנת הכרייה, כולל הדומיינים וכתובת ה-IP, מובילות למקור בודד: חברת תוכנה קטנה המבוססת באיראן".
"בעידן של מתקפות כופר בהיקפים של מיליוני דולרים, אשר מפילות ארגונים שלמים לברכיים, קל לבטל את ה-cryptojacking כמטרד, ולא לראות בו איום רציני. אבל זו תהיה טעות. Cryptojacking הוא איום שקט ובלתי נראה, שקל להטמיעו וקשה מאוד לזהותו. יותר מכך, ברגע שמערכת נפגעה, היא מהווה שער פתוח לאיומים אחרים, כגון תוכנות כופר. לכן, חשוב לעצור cyptojacking במקום. חפשו אחר סימנים כגון ירידה במהירות וביצועי המחשב, שימוש גובר בחשמל, חימום יתר של מכשירים ושימוש גובר ב-CPU".
