Vollgar на протяжении нескольких лет взламывает серверы Microsoft SQL

Vollgar на протяжении нескольких лет взламывает серверы Microsoft SQL

В ходе кампании преступники размещают на скомпрометированных серверах криптомайнеры и трояны для удаленного доступа.

image

Начиная с мая 2018 года, киберпреступники в ходе вредоносной кампании Vollgar ежедневно взламывают путем брутфорса тысячи уязвимых серверов Microsoft SQL (MSSQL), устанавливают бэкдоры и загружают майнеры криптопвалюты и трояны для удаленного доступа.

Как сообщили специалисты из команды Guardicore Labs, данная вредоносная кампания по-прежнему активно заражает от 2 тыс. до 3 тыс. серверов MSSQL каждый день. Кампания получила название Vollgar, поскольку преступники размещают на скомпрометированных серверах скрипты для добычи криптовалюты Monero (XMR) и Vollar (VDS).

По словам экспертов, атаки Vollgar осуществляются примерно с 120 IP-адресов, расположенных в основном в Китае. Предположительно, они представляют собой ранее взломанные MSSQL-серверы, использующиеся для сканирования Сети на предмет других потенциальных целей.

«Главный управляющий сервер Vollgar работал с компьютера в Китае. Было установлено, что сервер с базой данных MS-SQL и web-сервером Tomcat был скомпрометирован более чем одной группировкой. Мы обнаружили почти десять различных бэкдоров, используемых для доступа к компьютеру, чтения содержимого его файловой системы, изменения реестра, загрузки и выгрузки файлов и выполнения команд. Тем не менее, устройство работало в обычном режиме. Вредоносную активность можно зафиксировать среди запущенных задач, активных сеансов и списков пользователей с административными привилегиями, однако владельцы сервера это не замечали», — сообщили эксперты.

Преступники могут выполнять широкий спектр вредоносных действий с помощью двух C&C-серверов, используемых на протяжении всей кампании: от загрузки файлов, установки служб Windows и запуска кейлоггеров с возможностью создания снимков экрана, активации web-камеры или микрофона на скомпрометированном сервере, а также осуществление DDoS-атак.

Жертвами вредоносной кампании стали компании и предприятия разных отраслей промышленности, включая здравоохранение, авиацию, информационные технологии, телекоммуникации и высшее образование в Китае, Индии, США, Южной Корее и Турции.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.