MrbMiner Crypto Mining恶意软件与伊朗软件公司的链接

一个相对较新的加密挖掘恶意软件去年浮出水面，并感染了数千个Microsoft SQL Server（MSSQL）数据库，现在与一家位于伊朗的小型软件开发公司有关。

网络安全公司Sophos的研究人员表示，之所以能够将其归为密码，是因为存在运营安全监管，这导致该公司的名字无意中进入了加密矿工代码。

去年9月，中国科技巨头腾讯首次记录了MrbMiner，发现其目标是面向互联网的MSSQL服务器，目的是安装一个cryptominer，它劫持系统的处理能力来挖掘Monero，并将其导入攻击者控制的帐户。

“MrbMiner”这个名字出现在该组织用来托管其恶意挖掘软件的一个域之后。

SophosLabs的威胁研究主管加博·萨帕诺斯（Gabor Szappanos）说：“在很多方面，MrbMiner的行动似乎是我们见过的针对面向互联网的服务器的大多数加密矿工攻击的典型。”。

“这里的区别在于，攻击者在隐藏身份时似乎是小心谨慎。与矿工的配置、域和IP地址有关的许多记录都指向一个单一的来源点：一家位于伊朗的小型软件公司。”

MrbMiner通过使用各种弱密码组合对MSSQL服务器的管理员帐户进行暴力攻击来完成其任务。

根据Sophos的说法，这些有效载荷—；以各种名称调用，例如sys。dll，agentx。dll和hostx。dll文件被故意错误命名为ZIP文件，其中每个文件都包含miner二进制文件和一个配置文件等。

鉴于加密劫持攻击的匿名性质，通常更难确定其属性，但对于MrbMiner，攻击者似乎犯了一个错误，将有效负载位置和命令与控制（C2）地址硬编码到下载程序中。

其中一个领域是“vihansoft[.]ir“不仅在伊朗软件开发公司注册，而且有效载荷中包含的编译后的miner二进制文件留下了信号，表明该恶意软件与一个现已关闭的GitHub帐户相连接，该帐户用于托管该软件。

虽然数据库服务器由于其强大的处理能力，成为网络犯罪分子分发加密货币矿工的有利可图的目标，朝鲜和伊朗等受到严厉制裁的国家正在使用加密货币作为逃避旨在孤立它们并为非法活动提供便利的惩罚的手段，这一事态发展加剧了人们越来越多的担忧。

Szappanos说：“加密劫持是一种无声、无形的威胁，很容易实施，也很难发现。”。“此外，一旦系统遭到破坏，它就为其他威胁打开了大门，比如勒索软件。”

“因此，重要的是要停止加密劫持。注意计算机速度和性能降低、用电量增加、设备过热以及对CPU的需求增加等迹象。”