Sophos, İran Merkezli Korsan Kripto Madencilik Yazılımı Keşfetti
Yeni kuşak siber güvenlik teknolojilerinin başkanı Sophos, internet üzerindeki veritabanı sunucularını amaç alan kripto madencilik yazılımı MrbMiner hakkında “MrbMiner: Cryptojacking to bypass international sanctions” başlıklı yeni bir rapor yayınladı. Rapor, ziyanlı yazılımın İran’a yönelik memleketler arası yaptırımları aşmak için ülkedeki küçük bir yazılım merkezi tarafından hazırlandığına ve yönetildiğine işaret ediyor.
MrbMiner, internete açık SQL Server veritabanı sunucularını maksat alarak kendi kripto madencilik yazılımını yüklüyor. Veritabanı sunucuları, ağır kaynak gerektiren faaliyetler için kullanıldıkları ve buna bağlı olarak güçlü bilgi süreç kapasitesine sahip oldukları için kripto madencilerin cazip maksatları ortasında yer alıyor.
SophosLabs, saldırganların korsan madencilik yazılımını hedeflenen sunucuya yüklemek için birden çok yol kullandığını, cryptominer yük ve yapılandırma belgelerini kasıtlı olarak yanlış isimlendirilmiş zip arşiv belgelerinde paketlediğini tespit etti. İran merkezli bir yazılım şirketinin ismi, madencilik yazılımının ana yapılandırma evrakında kodlanmış bir formda yer alıyor. Bu alan, madencinin farklı kopyalarını içeren öteki zip evrakını barındırıyor. Bu zip evrakları ortalarında mrbftp.xyz adresinin de yer aldığı pek çok farklı alan üzerinden indiriliyor.
SophosLabs Tehdit Araştırma Yöneticisi Gabor Szappanos, “Organizasyonları dize getiren multi milyon dolarlık fidye yazılımı hücumlarının yaşandığı bir çağda kripto madenciliğe yönelik atakları hafife almak kusur olur” diyor. “Kripto madencilik saldırısı uygulaması kolay, tespit edilmesi çok güç olan sessiz ve görünmez bir tehdittir. Ayrıyeten fidye yazılımı üzere öbür büyük tehditler için açık kapı bırakma potansiyeline sahiptir. MrbMiner’ın operasyonları, internete dönük sunucuları gaye alan kripto madencilik ataklarının tipik özelliklerini taşıyor. Lakin kimliklerini gizleme konusunda epey özensiz davranmaları dikkat alımlı. Madencinin konfigürasyonu, tesir alanları ve IP adresleriyle ilgili kayıtların birçok, İran merkezli küçük bir yazılım şirketini işaret ediyor.”
Sophos, kripto madenciliğe karşı bilgisayarların ve sunucuların suratında ve performansında azalma, elektrik tüketiminde artma, aygıtların çok ısınması ve işlemci üzerinde artan talep üzere işaretlere dikkat edilmesi gerektiğini söylüyor.
MrbMiner, Sophos tarafından Cryptominer Troj / Miner-ZD ismiyle tespit ediliyor.
Kaynak: Technopat