В отчете компания сообщает, что сначала ботнет пытается подобрать имя пользователя и пароль для входа на SQL-сервер и использует уязвимость EternalBlue для получения доступа. После этого с помощью уязвимостей CVE-2017-0213 или CVE-2019-0803 вирус пытается получить права администратора. С помощью SQL-скриптов ботнет скачивает все необходимые компоненты вируса и устанавливает известный майнер XMRig для добычи анонимной криптовалюты Monero.
Для размещения компонентов вируса хакеры используют как собственные серверы, где хранят сами вредоносные компоненты, так и публичные сервисы, например, Github. В публичных репозиториях хранятся компоненты, которые могут использоваться для различных целей, поэтому соответствуют политике сервисов.
Интересно, что если сервер подвержен уязвимости EternalBlue, то после его заражения вирус отключает уязвимую службу удаленных рабочих столов (RDP), чтобы другие ботнеты не смогли получить доступ к серверу.
Майнеры XMRig на зараженных серверах настроены на подключение к двум майнинговым пулам: 95.179.131.54 и w1.homewrt.com. К сожалению специалисты Sophos не сообщают о том, сколько серверов было заражено в ходе атаки.
В конце мая компания Red Canary обнаружила массовое заражение корпоративных серверов новым вирусом-майнером, созданным группой Blue Mockingbird. Он также использовал майнер XMRig для добычи Monero.