Sophos, MrbMiner adıyla bilinen korsan kripto madencilik yazılımının ülkeye yönelik uluslararası yaptırımları aşmak için İran’daki küçük bir yazılım evi tarafından hazırlandığını ortaya çıkardı.
Sophos, internet üzerindeki veritabanı sunucularını hedef alan kripto madencilik yazılımı MrbMiner hakkında “MrbMiner: Cryptojacking to bypass international sanctions” başlıklı yeni bir rapor yayınladı. Rapor, zararlı yazılımın İran’a yönelik uluslararası yaptırımları aşmak için ülkedeki küçük bir yazılım merkezi tarafından hazırlandığına ve yönetildiğine işaret ediyor.
MrbMiner, internete açık SQL Server veritabanı sunucularını hedef alarak kendi kripto madencilik yazılımını yüklüyor. Veritabanı sunucuları, yoğun kaynak gerektiren faaliyetler için kullanıldıkları ve buna bağlı olarak güçlü bilgi işlem kapasitesine sahip oldukları için kripto madencilerin cazip hedefleri arasında yer alıyor.
SophosLabs, saldırganların korsan madencilik yazılımını hedeflenen sunucuya yüklemek için birden çok yol kullandığını, cryptominer yük ve yapılandırma dosyalarını kasıtlı olarak yanlış adlandırılmış zip arşiv dosyalarında paketlediğini tespit etti. İran merkezli bir yazılım şirketinin adı, madencilik yazılımının ana yapılandırma dosyasında kodlanmış bir şekilde yer alıyor. Bu alan, madencinin farklı kopyalarını içeren diğer zip dosyasını barındırıyor. Bu zip dosyaları aralarında mrbftp.xyz adresinin de yer aldığı pek çok farklı alan üzerinden indiriliyor.
SophosLabs Tehdit Araştırma Direktörü Gabor Szappanos, “Organizasyonları dize getiren multi milyon dolarlık fidye yazılımı saldırılarının yaşandığı bir çağda kripto madenciliğe yönelik saldırıları hafife almak hata olur” diyor. “Kripto madencilik saldırısı uygulaması kolay, tespit edilmesi çok zor olan sessiz ve görünmez bir tehdittir. Ayrıca fidye yazılımı gibi diğer büyük tehditler için açık kapı bırakma potansiyeline sahiptir. MrbMiner’ın operasyonları, internete dönük sunucuları hedef alan kripto madencilik saldırılarının tipik özelliklerini taşıyor. Ancak kimliklerini gizleme konusunda oldukça özensiz davranmaları dikkat çekici. Madencinin konfigürasyonu, etki alanları ve IP adresleriyle ilgili kayıtların çoğu, İran merkezli küçük bir yazılım şirketini işaret ediyor.”
Sophos, kripto madenciliğe karşı bilgisayarların ve sunucuların hızında ve performansında azalma, elektrik tüketiminde artma, cihazların aşırı ısınması ve işlemci üzerinde artan talep gibi işaretlere dikkat edilmesi gerektiğini söylüyor.
MrbMiner, Sophos tarafından Cryptominer Troj / Miner-ZD adıyla tespit ediliyor. Daha fazla bilgiyi SophosLabs Github kaynağında ve SophosLabs Uncut makalesinde bulabilirsiniz.