MrbMiner Kripto-Maden Botnetinin, İran İle Bağlantısı Tespit Edildi

Sophos bugün yayınladığı rapor ile MrbMiner grubunun tabiri caizse ayağını kaydırdı. Buna rağmen söz konusu botnetin bir süre daha işlevini sürdürmesi bekleniyor.

Siber güvenlik firması Sophos yayınladığı raporda, MrbMiner kripto-maden botnet operatörlerininin izine ulaştığını açıkladı. Yetkililere göre, bilgisayar korsanlarını İran’ın Şiraz şehrinde faaliyet gösteren küçük bir yazılım geliştirme şirketine bağlayan kanıtlar mevcut.

MrbMiner botnet 2020 yazından bu yana faaliyetini sürdürüyor. Botnet ilk olarak geçen yıl Eylül ayında Tencent güvenlik raporunda detaylı olarak yer aldı.

Tencent raporunda, MrbMiner’ın zayıf bir şekilde korunan yönetici hesaplarına erişim sağlamak için Microsoft SQL Sunucuları (MSSQL) veritabanlarına karşı kaba kuvvet saldırıları başlattığını tespit ettiğini belirtmişti.

Botnet içeri girdiğinde, Default / @ fg125kjnhn987 kimlik bilgileriyle bir arka kapı hesabı oluşturuyor. Ardından, mrbftp.xyz veya mrbfile.xyz gibi alan adlarından birinden kripto para birimi madencisi indirip sunucuya yüklüyor.

Bugünkü bir raporda da, Sophos araştırmacıları bu botnet’in çalışma şeklini daha derinlemesine analiz ettiklerini söylediler. Kötü amaçlı yazılım yüklerine, etki alanı verilerine ve sunucu bilgileri gibi daha detaylı bir araştırma yürüttüler. Bu araştırmanın sonucunda da botnetin çıkış noktası olan yasal olarak faaliyet gösteren İran’lı bir işletmeye ulaştılar.

Sophos araştırmacıları Andrew Brandt ve Gabor Szappanos yayınlanan rapor ile ilgili yaptıkları açıklamada şunları söyledi: “Bir saldırıya dahil olan yasal bir işletmeye ait web etki alanlarını söz konusu olduğunda, saldırganların kötü amaçlı yazılım yükünü barındırabilecekleri bir ‘çıkmaz’ oluşturmak için web barındırma yeteneklerini kullanmak için bir web sitesinden yararlanmaları çok yaygın bir durum. Ancak bu durumda, etki alanı sahibi kötü amaçlı yazılımın yayılmasında rol oynuyor.”

Sophos, kripto-maden yüklerini barındırmak için kullanılan birden fazla MbrMiner etki alanının, İran merkezli yasal bir yazılım geliştirme firmasının web sitesi olan vihansoft.ir’i barındırmak için kullanılan sunucuda bulunduğunu söyledi.

İranlı şirketin kimliklerinin açığa çıkmasından çekinmemesinin sebeplerinden biri de bulundukları konum. Son yıllarda İranlı siber suçlular, İran hükümetinin vatandaşlarını batı hükümetlerine iade etmediğini gördükçe, daha atılgan ve daha cüretkar davranmaya başladılar.

Geçmiş dönemde görülen önemli İran bağlantılı siber suç operasyonları arasında SamSam ve Pay2Key fidye yazılımı çeteleri ve Silent Librarian phishing grubu da vardı. En dikkat çekenleri bunlar olsa da, İran daha bir çok küçük-orta ölçekli siber saldırıya ev sahipliği yapmış bulunuyor.

Kaynak: zdnet.com

Bunlar da İlginizi Çekebilir

Aylardır Bulunamayan Jack Ma Sonunda Ortaya Çıktı
AMD’nin Ryzen 5000 Serisi Laptoplara Geliyor
Oracle Weblogic’de Kritik RCE Zafiyeti

Exit mobile version