ارتباط کمپین بدافزاری MrbMiner با شرکت نرم‌افزاری نشان، در ایران

۱۸ بهمن ۱۳۹۹

محققان امنیتی شرکت سوفوس، با انجام بررسی‌های جدید درباره یک کمپین بدافزاری که سرور‌های اس‌کیوال (SQL) را به منظور استخراج ارز دیجیتال مورد هدف قرار می‌داد، به شواهدی دست یافته‌اند که نشان می‌دهد سازندگان بدافزار به کار رفته در این کمپین، مستقر در ایران هستند. این کمپین که MrbMiner نام دارد، در سپتامبر ۲۰۲۰ کشف شده و استخراج‌کننده ارز دیجیتال را روی هزاران سرورهای اس‌کیوال دانلود و نصب شده است.

براساس اطلاعات منتشر شده، پی‌لود این استخراج‌کننده ارز دیجیتال، یک فایل بدافزار دانلودر با نام assm.exe را در کنار اجرا کننده سرور اس‌کیوال با نام sqlservr.exe اجرا می‌کند که وظیفه آن، دانلود فایل بدافزار اصلی به کار رفته در این کمپین از طریق سرورهای مهاجمان و گزارش تایید دانلود آن به سرورهای کنترل و فرمان هکرها است.

در همین رابطه، محققان به شواهدی دست یافته‌اند که نشان می‌دهد، مجموعه‌ای از اطلاعات استخراج‌کننده از جمله دامنه‌ها و آدرس‌های آی‌پی به کار رفته در این کمپین، مرتبط با یک شرکت نرم‌افزاری مستقر در ایران هستند.

به عنوان مثال، یکی از ردپاهای بدست آمده، دامنه vihansoft.ir است که متعلق به یک شرکت نرم‌افزار ایرانی است که مالک آن، یعنی شرکت نشان، یکی از شرکت‌های سازنده برنامه‌های موبایلی و سرویس اینترنتی نقشه ایران است.

محققان امنیتی شرکت سوفوس، اظهار کردند که در حالی که بسیاری از مهاجمان، رایانه‌های شخصی را با بدافزارهای استخراج‌کننده ارز دیجیتال مورد هدف قرار می‌دهند، سرورهای پایگاه داده نیز هدف مهمی برای مهاجمان هستند؛ زیرا دارای قابلیت پردازش قوی بوده و مهاجمان می‌توانند از آن‌ها برای فرآیند‌های سنگین و فشرده استفاده کنند.

 

 

توضیحات بیشتر:

SQL Server Malware Tied to Iranian Software Firm, Researchers Allege