Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Vollgar на протяжении нескольких лет взламывает серверы Microsoft SQL

03/04/20

hack42-5Начиная с мая 2018 года, киберпреступники в ходе вредоносной кампании Vollgar ежедневно взламывают путем брутфорса тысячи уязвимых серверов Microsoft SQL (MSSQL), устанавливают бэкдоры и загружают майнеры криптопвалюты и трояны для удаленного доступа.

Как сообщили специалисты из команды Guardicore Labs, данная вредоносная кампания по-прежнему активно заражает от 2 тыс. до 3 тыс. серверов MSSQL каждый день. Кампания получила название Vollgar, поскольку преступники размещают на скомпрометированных серверах скрипты для добычи криптовалюты Monero (XMR) и Vollar (VDS).

По словам экспертов, атаки Vollgar осуществляются примерно с 120 IP-адресов, расположенных в основном в Китае. Предположительно, они представляют собой ранее взломанные MSSQL-серверы, использующиеся для сканирования Сети на предмет других потенциальных целей.

«Главный управляющий сервер Vollgar работал с компьютера в Китае. Было установлено, что сервер с базой данных MS-SQL и web-сервером Tomcat был скомпрометирован более чем одной группировкой. Мы обнаружили почти десять различных бэкдоров, используемых для доступа к компьютеру, чтения содержимого его файловой системы, изменения реестра, загрузки и выгрузки файлов и выполнения команд. Тем не менее, устройство работало в обычном режиме. Вредоносную активность можно зафиксировать среди запущенных задач, активных сеансов и списков пользователей с административными привилегиями, однако владельцы сервера это не замечали», — сообщили эксперты.

Преступники могут выполнять широкий спектр вредоносных действий с помощью двух C&C-серверов, используемых на протяжении всей кампании: от загрузки файлов, установки служб Windows и запуска кейлоггеров с возможностью создания снимков экрана, активации web-камеры или микрофона на скомпрометированном сервере, а также осуществление DDoS-атак.

Жертвами вредоносной кампании стали компании и предприятия разных отраслей промышленности, включая здравоохранение, авиацию, информационные технологии, телекоммуникации и высшее образование в Китае, Индии, США, Южной Корее и Турции.

Темы:MicrosoftУгрозыGuardicore Labsсерверы
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...