Vollgar на протяжении нескольких лет взламывает серверы Microsoft SQL

Чт 2 Апрель 2020 11:15

Начиная с мая 2018 года, киберпреступники в ходе вредоносной кампании Vollgar ежедневно взламывают путем брутфорса тысячи уязвимых серверов Microsoft SQL (MSSQL), устанавливают бэкдоры и загружают майнеры криптопвалюты и трояны для удаленного доступа.

Как сообщили специалисты из команды Guardicore Labs, данная вредоносная кампания по-прежнему активно заражает от 2 тыс. до 3 тыс. серверов MSSQL каждый день. Кампания получила название Vollgar, поскольку преступники размещают на скомпрометированных серверах скрипты для добычи криптовалюты Monero (XMR) и Vollar (VDS).

По словам экспертов, атаки Vollgar осуществляются примерно с 120 IP-адресов, расположенных в основном в Китае. Предположительно, они представляют собой ранее взломанные MSSQL-серверы, использующиеся для сканирования Сети на предмет других потенциальных целей.

«Главный управляющий сервер Vollgar работал с компьютера в Китае. Было установлено, что сервер с базой данных MS-SQL и web-сервером Tomcat был скомпрометирован более чем одной группировкой. Мы обнаружили почти десять различных бэкдоров, используемых для доступа к компьютеру, чтения содержимого его файловой системы, изменения реестра, загрузки и выгрузки файлов и выполнения команд. Тем не менее, устройство работало в обычном режиме. Вредоносную активность можно зафиксировать среди запущенных задач, активных сеансов и списков пользователей с административными привилегиями, однако владельцы сервера это не замечали», — сообщили эксперты.

Преступники могут выполнять широкий спектр вредоносных действий с помощью двух C&C-серверов, используемых на протяжении всей кампании: от загрузки файлов, установки служб Windows и запуска кейлоггеров с возможностью создания снимков экрана, активации web-камеры или микрофона на скомпрометированном сервере, а также осуществление DDoS-атак.

Жертвами вредоносной кампании стали компании и предприятия разных отраслей промышленности, включая здравоохранение, авиацию, информационные технологии, телекоммуникации и высшее образование в Китае, Индии, США, Южной Корее и Турции.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 212 дней 7 часов 17 минут 27 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.