Центр экстренного реагирования на чрезвычайные ситуации АнЛаб Секьюрити (ASEC) недавно обнаружил случаи proxyjacking, направленные на плохо управляемые серверы MS-SQL. Общедоступные серверы MS-SQL с простыми паролями являются одним из основных векторов атак на Windows-системы. Как правило, угрозы нацелены на плохо управляемые MS-SQL-серверы и пытаются получить доступ с помощью грубой силы или атаки по словарю. В случае успеха они устанавливают на зараженную систему вредоносное ПО.
Угрозы устанавливают LoveMiner на MS-SQL-серверы уже достаточно давно, и их отличительной особенностью является то, что они осуществляют proxyjacking и cryptojacking одновременно. В отличие от предыдущих атак, в которых использовалось прокси-программное обеспечение компании Peer2Profit, в текущих атаках они перешли на использование прокси-программного обеспечения компаний IPRoyal Pawns, Traffmonetizer, Proxyrack и PacketStream. Помимо использования различных прокси-программ, еще одной отличительной особенностью является то, что вредоносная программа компилируется с использованием метода опережающей компиляции .NET Native (AOT). В этой заметке мы кратко рассмотрим прошлые атаки угрожающего агента и проанализируем вредоносное ПО, используемое им в последних атаках.
Indicators of Compromise
MD5
- 0bd9711e8566b28142dde063c0fc2e55
- 2d9c5507f204fc5a223bff457b4cb0e7
- 407eee5f4342af292a66b8d49794f64f
- 5a8eee8fe217634cb47f2967a3d6bb37
- a88e1eaf5576d27572ccc5655afb9d1a
- dd7c9fe604867e2705dc581fedc1f554
- e8997e7d0cfee9875eb64b3aae8cc76a
- ec336ebe46d1ed6b0381801d06fb30b4