据BleepingComputer网站7月28日消息,目前一些攻击者利用捆绑广告甚至恶意软件的软件入侵微软的SQL服务器,将设备变成在线代理服务租用的服务器利润。为了窃取设备的带宽,攻击者安装代理软件,将设备的可用Internet带宽分配为代理服务器,远程用户可以使用该代理服务器进行各种操作,例如测试、情报收集、内容分发或市场调查。作为共享带宽的回报,设备所有者可以从向客户收取的费用中分一杯羹。例如,Peer2Profit服务显示,通过在数千台设备上安装该公司的软件,每月可赚取6,000美元。Peer2Profit代理服务的前10名用户根据韩国公司Ahnlab的研究人员28日发布的一份新报告,一种新的恶意软件活动正在利用受害者的网络带宽通过安装代理软件来赚钱。攻击者通过为用户设置电子邮件地址来获得带宽补偿,而用户可能只会注意到网络速度有时很慢。在设备上秘密安装代理客户端Ahnlab观察到通过捆绑广告软件和其他恶意软件为Peer2Profit和IPRoyal等服务安装代理软件。恶意软件检查代理客户端是否在主机上运行,??如果禁用,则可以使用“p2p_start()”函数启动。创建并运行Peer2ProfitSDKForIPRoyal'sPawns,恶意软件更喜欢安装客户端的CLI版本而不是GUI版本,因为目的是让进程在后台秘密运行。安装和配置PawnsCLI在最近的观察中,攻击者使用DLL形式的Pawns,以编码字符串的形式提供他们的电子邮件和密码,并使用“Initialize()”和“startMainRoutine()”函数启动它们。一旦在设备上安装了代理软件,软件就会将其添加为可用代理,远程用户可以使用它在Internet上做任何事情。这也意味着其他攻击者可以在受害者不知情的情况下使用这些代理进行非法活动。感染MS-SQL服务器根据Ahnlab的报告,使用此方案创收的恶意软件还将以易受攻击的MS-SQL服务器为目标,以安装Peer2Profit客户端。自2022年6月上旬以来,这种情况一直在持续,研究人员从受感染系统中检索到的大多数日志都显示存在一个名为“sdk.mdf”的UPX打包数据库文件。安装了Peer2Profit的SQL进程MicrosoftSQLServer最常见的威胁是加密货币矿工进行加密劫持,以及攻击者使用服务器作为通过CobaltStrike信标进入网络的枢轴点。使用代理软件客户端背后的原因可能是增加长时间未被发现的机会,从而转化为更大的利润。不过,目前还不清楚作案者通过这种方式赚了多少钱。参考来源:https://www.bleepingcomputer.com/news/security/microsoft-sql-servers-hacked-to-steal-bandwidth-for-proxy-services/
