محققان امنیتی شرکت سوفوس، با انجام بررسیهای جدید درباره یک کمپین بدافزاری که سرورهای اسکیوال (SQL) را به منظور استخراج ارز دیجیتال مورد هدف قرار میداد، به شواهدی دست یافتهاند که نشان میدهد سازندگان بدافزار به کار رفته در این کمپین، مستقر در ایران هستند. این کمپین که MrbMiner نام دارد، در سپتامبر ۲۰۲۰ کشف شده و استخراجکننده ارز دیجیتال را روی هزاران سرورهای اسکیوال دانلود و نصب شده است.
براساس اطلاعات منتشر شده، پیلود این استخراجکننده ارز دیجیتال، یک فایل بدافزار دانلودر با نام assm.exe را در کنار اجرا کننده سرور اسکیوال با نام sqlservr.exe اجرا میکند که وظیفه آن، دانلود فایل بدافزار اصلی به کار رفته در این کمپین از طریق سرورهای مهاجمان و گزارش تایید دانلود آن به سرورهای کنترل و فرمان هکرها است.
در همین رابطه، محققان به شواهدی دست یافتهاند که نشان میدهد، مجموعهای از اطلاعات استخراجکننده از جمله دامنهها و آدرسهای آیپی به کار رفته در این کمپین، مرتبط با یک شرکت نرمافزاری مستقر در ایران هستند.
به عنوان مثال، یکی از ردپاهای بدست آمده، دامنه vihansoft.ir است که متعلق به یک شرکت نرمافزار ایرانی است که مالک آن، یعنی شرکت نشان، یکی از شرکتهای سازنده برنامههای موبایلی و سرویس اینترنتی نقشه ایران است.
محققان امنیتی شرکت سوفوس، اظهار کردند که در حالی که بسیاری از مهاجمان، رایانههای شخصی را با بدافزارهای استخراجکننده ارز دیجیتال مورد هدف قرار میدهند، سرورهای پایگاه داده نیز هدف مهمی برای مهاجمان هستند؛ زیرا دارای قابلیت پردازش قوی بوده و مهاجمان میتوانند از آنها برای فرآیندهای سنگین و فشرده استفاده کنند.
توضیحات بیشتر:
- SQL Server Malware Tied to Iranian Software Firm, Researchers Allege