據(jù)Bleeping Computer網(wǎng)站7月28日消息，目前，一些攻擊者通過(guò)使用捆綁廣告的軟件甚至是惡意軟件入侵微軟的SQL服務(wù)器，將設(shè)備轉(zhuǎn)化為在線代理服務(wù)出租的服務(wù)器進(jìn)行牟利。

為了竊取設(shè)備的帶寬，攻擊者安裝了代理軟件 ，將設(shè)備的可用互聯(lián)網(wǎng)帶寬分配為代理服務(wù)器，遠(yuǎn)程用戶可以使用該服務(wù)器進(jìn)行各種操作，如測(cè)試、情報(bào)收集、內(nèi)容分發(fā)或市場(chǎng)研究。

作為共享帶寬的回報(bào)，設(shè)備所有者可以從向客戶收取的費(fèi)用中抽成。例如，Peer2Profit服務(wù)顯示，通過(guò)在數(shù)以千計(jì)的設(shè)備上安裝該公司的軟件，每月賺取多達(dá)6000美元的收入。

Peer2Profit 代理服務(wù)前 10 名用戶

根據(jù)韓國(guó)公司Ahnlab的研究人員28日發(fā)表的一份新報(bào)告，一種新的惡意軟件活動(dòng)正通過(guò)安裝代理軟件，利用受害者的網(wǎng)絡(luò)帶寬賺錢。攻擊者通過(guò)為用戶設(shè)置其電子郵件地址來(lái)獲得帶寬補(bǔ)償，而用戶可能只會(huì)察覺(jué)到網(wǎng)絡(luò)速度有時(shí)會(huì)變慢。

在設(shè)備上偷裝代理客戶端

Ahnlab觀察到通過(guò)捆綁廣告的軟件和其他惡意軟件，為 Peer2Profit 和 IPRoyal 等服務(wù)安裝代理軟件。

惡意軟件檢查代理客戶端是否在主機(jī)上運(yùn)行，如果停用，它可以使用 "p2p_start() "函數(shù)來(lái)啟動(dòng)。

創(chuàng)建和運(yùn)行 Peer2Profit SDK

對(duì)于 IPRoyal 的 Pawns，惡意軟件更喜歡安裝客戶端的 CLI 版本而不是 GUI 版本，因?yàn)槠淠康氖亲屧撨M(jìn)程在后臺(tái)隱蔽地運(yùn)行。

安裝和配置 Pawns CLI

在最近的觀察中，攻擊者使用DLL形式的Pawns，以編碼的字符串形式提供他們的電子郵件和密碼，并用 "Initialize() "和 "startMainRoutine() "函數(shù)來(lái)啟動(dòng)。在設(shè)備上安裝代理軟件后，該軟件會(huì)將其添加為可用代理，遠(yuǎn)程用戶可以使用它在互聯(lián)網(wǎng)上進(jìn)行任何操作。這也意味著其他攻擊者可以在受害者不知情的情況下使用這些代理進(jìn)行非法活動(dòng)。

感染MS-SQL服務(wù)器

根據(jù)Ahnlab的報(bào)告，使用這種方案創(chuàng)收的惡意軟件也會(huì)針對(duì)脆弱的MS-SQL服務(wù)器來(lái)安裝Peer2Profit客戶端。

這一情況自2022年6月初以來(lái)便一直持續(xù)，研究人員從受感染系統(tǒng)中檢索到的大多數(shù)日志都顯示存在一個(gè)名為“sdk.mdf”的 UPX 打包數(shù)據(jù)庫(kù)文件。

安裝 Peer2Profit 的 SQL 進(jìn)程

在微軟SQL服務(wù)器更常見(jiàn)的威脅中，有進(jìn)行加密貨幣劫持的加密貨幣幣礦工，也有攻擊者通過(guò)Cobalt Strike信標(biāo)將服務(wù)器作為進(jìn)入網(wǎng)絡(luò)的支點(diǎn)。

使用代理軟件客戶端背后的原因可能是增加了長(zhǎng)時(shí)間不被發(fā)現(xiàn)的機(jī)會(huì)，這就轉(zhuǎn)化為更大的利潤(rùn)。不過(guò)，目前還不清楚行為人通過(guò)這種方法賺了多少錢。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/microsoft-sql-servers-hacked-to-steal-bandwidth-for-proxy-services/