Sebuah geng malware baru terdeteksi selama beberapa bulan terakhir meretas MSSQL (Microsoft SQL Server) dan menginstal penambang cryptocurrency. Menurut laporan dari Tencent, ribuan database MSSQL berhasil terinfeksi sejauh ini.
Dalam laporan tersebut, Tencent Security menamai geng malware baru ini MrbMiner, diambil dari nama salah satu domain yang digunakan oleh grup tersebut untuk menghosting malware mereka.
Tencent mengatakan botnet telah menyebar secara eksklusif untuk pemindaian server MSSQL di internet dan kemudian melakukan serangan brute-force.
Setelah penyerang mendapatkan akses, mereka mengunduh file assm.exe, yang digunakan untuk membuat mekanisme persistensi (re)boot dan menambahkan akun backdoor untuk akses di masa mendatang. Tencent mengatakan akun ini menggunakan nama pengguna “Default” dan sandi “@fg125kjnhn987”.
Langkah terakhir dari proses infeksi adalah menyambungkan ke server command-and-control (C2) dan mengunduh aplikasi penambang cryptocurrency Monero (XMR) dengan menyalahgunakan sumber daya server lokal dan menghasilkan koin XMR ke dalam akun yang dikendalikan oleh penyerang.
Tencent Security mengatakan bahwa meskipun mereka hanya melihat infeksi pada server MSSQL, server C2 MrbMiner juga berisi versi malware grup yang ditulis untuk menargetkan server Linux dan sistem berbasis ARM.
Baca Juga: “Penjahat Siber Berhasil Mencuri $5,4 Juta Dari Bursa Cryptocurrency Eterbase“
Setelah menganalisis malware MrbMiner versi Linux, para peneliti di Tencent mengatakan mereka mengidentifikasi wallet Monero tempat malware menampung dana.
Alamat wallet tersebut berisi 3,38 XMR (~$300), menunjukkan bahwa versi Linux juga sedang didistribusikan secara aktif, meskipun rincian tentang serangan ini masih belum diketahui untuk saat ini.
Wallet Monero yang digunakan untuk MbrMiner versi server MSSQL berisi 7 XMR (~$630). Meskipun jumlahnya kecil, geng penambang cryptocurrency biasanya menggunakan banyak wallet untuk operasi mereka, dan kelompok tersebut kemungkinan besar menghasilkan keuntungan yang jauh lebih besar.
Untuk saat ini, apa yang perlu dilakukan oleh administrator sistem adalah memindai server MSSQL untuk mengetahui keberadaan akun backdor Default/@fg125kjnhn987. Lalu sangat disarankan juga untuk melakukan audit lengkap.
