Аналитический центр AhnLab Security (ASEC) подтвердил случай, когда прокси-сервер CoinMiner стал объектом атаки сканирования удаленного рабочего стола (RDP) с использованием Ransomware. Неизвестные злоумышленники использовали прокси-сервер для доступа к зараженному ботнету и одновременно запустили атаку сканирования RDP на другого злоумышленника. В результате атаки сканирования RDP ботнет CoinMiner был заражен программой-вымогателем.
Пока точная причина заражения CoinMiner не установлена, был предложен один из возможных сценариев. Злоумышленники CoinMiner использовали сканирующие атаки на учетные записи администраторов сервера MS-SQL, после чего установили бэкдорную программу с использованием учетной записи 'sa'. Этот бэкдор регулярно получал новые команды с сервера C2 и загружал вредоносные файлы, включая CoinMiner.
Злоумышленники CoinMiner настроили обратный доступ к боту Miner с помощью инструмента Fast Reverse Proxy, который позволил им использовать прокси-сервер в своей атаке. Затем злоумышленники произвели сканирование всех открытых портов RDP, чтобы найти цели для атаки. В этом случае прокси-сервер CoinMiner был открыт для доступа в Интернет, что сделало его целью атаки сканирования RDP.
Модифицированный файл Fast Reverse Proxy злоумышленников CoinMiner был распространен через сервер C2 и использован с помощью бэкдора на некоторых ботах CoinMiner. Затем злоумышленники запустили атаку RDP на целевые системы, используя грубую силу и успешно получили доступ к системе в качестве администратора. После этого была распространена программы-вымогатель на несколько систем.
На данный момент нет определенной информации о преднамеренности атаки на прокси-сервер CoinMiner. Существуют две возможные гипотезы:
- Чистая случайность: злоумышленник CoinMiner не осознавал атаки на прокси-сервер и рассматривал его как одну из многих целей. В этом случае заражение программой-вымогателем было случайным.
- Злоумышленник знал о прокси-сервере: злоумышленник осознанно использовал сканирование RDP для атаки на прокси-сервер CoinMiner.
Indicators of Compromise
IPv4
- 223.223.188.19
- 47.99.155.111
IPv4 Port Combinations
- 46.59.210.69:7000
- 46.59.214.14:7000
- 84.46.22.158:7000
URLs
- 185.141.26.116/hotfixl.ico
- 185.141.26.116/stats.php
- 185.141.26.116/winupdate.css
Domains
- d.mymst.top
- frp.mymst007.top
- m.mymst.top
MD5
- 00fa7f88c54e4a7abf4863734a8f2017
- 057d5c5e6b3f3d366e72195b0954283b
- 0753cab27f143e009012053208b7f63e
- 0fc84b8b2bd57e1cf90d8d972a147503
- 15069da45e5358578105f729ec1c2d0b
- 1f7df25f6090f182534ddef93f27073d
- 2513eb59c3db32a2d5efbede6136a75d
- 28c2b019082763c7a90ef63bfd2f833a
- 35861f4ea9a8ecb6c357bdb91b7df804
- 35ee8d4e45716871cb31a80555c3d33e
- 432bf16e0663a07e4bd4c4ead68d8d3d
- 44bd492dfb54107ebfe063fcbfbddff5
- 5410539e34fb934133d6c689072ba49d
- 59feb67c537c71b256add4f3cbcb701c
- 6121393a37c3178e7c82d1906ea16fd4
- 76b916f3eeb80d44915d8c01200d0a94
- 782dd6152ab52361eba2bafd67771fa0
- 7f31636f9b74ab93a268f5a473066053
- 8cafdbb0a919a1de8e0e9e38f8aa19bd
- 9b7be5271731cffc51ebdf9e419fa7c3
- ad3d95371c1a8465ac73a3bc2817d083
- d28f0cfae377553fcb85918c29f4889b
- d6b2feea1f03314b21b7bb1ef2294b72
- dc8a0d509e84b92fbf7e794fbbe6625b
- df218168bf83d26386dfd4ece7aef2d0
- e0db0bf8929ccaaf6c085431be676c45
- e919edc79708666cd3822f469f1c3714
