Οι ερευνητές αποκάλυψαν μια μαζική επίθεση στα Windows που τρέχουν MS-SQL Servers από μια ομάδα hackers χρησιμοποιώντας ένα κύμα μακροχρόνιας εκστρατείας επίθεσης που ονομάζεται Vollgar.
Ο Microsoft SQL Server είναι ένα σύστημα διαχείρισης βάσεων δεδομένων που αναπτύχθηκε από τη Microsoft με τις 3 πιο δημοφιλείς πλατφόρμες βάσης δεδομένων που αναπτύσσονται σε διάφορους οργανισμούς ανά τον κόσμο.
Αυτή η μαζική μακρόχρονη εκστρατεία επίθεσης που παρατηρήθηκε μέχρι το 2018 μέσω του συστήματος honeypot, από τότε έκανε χιλιάδες επιθέσεις σε πολλούς χιλιάδες servers MS-SQL τα τελευταία δύο χρόνια.
Οι ερευνητές παρατήρησαν ότι η εκστρατεία Vollgar προέρχεται από περισσότερες από 120 διευθύνσεις IP και οι περισσότερες από τις επισκέψεις προέρχονται από την Κίνα.
Εκπληκτικά, αυτή η εκστρατεία Vollgar επιτίθεται καθημερινά σε περίπου 3.000 servers MS-SQL και τα θύματα ανήκουν σε διάφορους τομείς όπως η υγειονομική περίθαλψη, η αεροπορία, η πληροφορική και οι τηλεπικοινωνίες και η τριτοβάθμια εκπαίδευση από την Ινδία, την Ουκρανία, την Τουρκία και τη Νότια Κορέα.
“Οι hackers επιχειρούν διάφορες μορφές επίθεσης, συμπεριλαμβανομένου του password brute force, για να παραβιάσουν τα συστήματα των θυμάτων, να αναπτύσσουν πολλά backdoors και να εκτελέσουν πολυάριθμα κακόβουλα module, όπως τα πολυλειτουργικά εργαλεία απομακρυσμένης πρόσβασης (RAT) και τα κρυπτοκαταστήματα” αναφέρουν οι ερευνητές του Guardicore.
Ένα άλλο ενδιαφέρον γεγονός αυτής της εκστρατείας είναι ότι το 60% των μολυσμένων μηχανών παραμένει μια χρονική περίοδος μικρής διάρκειας ζωής και το 20% μιας επίθεσης στο server MS-SQL που παραμένει μολυσμένος για μεγάλο χρονικό διάστημα μιας εβδομάδας ή περισσότερο από 2 εβδομάδες και 10 % των θυμάτων επανεμφανίζεται ξανά και ξανά ακόμη και μετά την αφαίρεση του malware από τους διαχειριστές του συστήματος.
Ουσιαστική καμπάνια για σφάλμα μόλυνσης MS-SQL Server & Υποδομή
Η καμπάνια ξεκίνησε με τις ισχυρές προσπάθειες σύνδεσης brute force σε servers MS-SQL, ως αποτέλεσμα επιτυχών προσπαθειών που θα τους επιτρέψουν να προχωρήσουν σε διάφορες αλλαγές στη διαμόρφωση που δημιουργούν τη δυνατότητα εκτέλεσης αυθαίρετων εντολών.
Κατά τη διάρκεια της επίθεσης, οι hackers προσέθεσαν ένα χαρακτηριστικό που εξαλείφει τους άλλους φορείς του στοχευόμενου συστήματος και διασφαλίζει τη μοναδική τους παρουσία και καταλαμβάνει τους περισσότερους πόρους, όπως το εύρος ζώνης και την ισχύ της CPU.
Για να αποφευχθούν οι αποτυχημένες προσπάθειες, οι hackers έγραψαν δύο scripts VB, συμπεριλαμβανομένου ενός script FTP που μπορεί να μεταφορτωθεί μέσω HTTP και οι λήπτες εκτελούνται από διαφορετική θέση κάθε φορά.
Οι ερευνητές συγκέντρωσαν πολλά στοιχεία που δείχνουν ότι ο κεντρικός server CNC προέρχεται από την Κίνα και ότι χρησιμοποιούνται 10 διαφορετικά backdoor για την πρόσβαση στο σύστημα, την ανάγνωση των αρχείων, την εκτέλεση της τροποποίησης του μητρώου, τη λήψη και εκτέλεση των script.
Σύμφωνα με την έκθεση Guardicore “βρήκαμε δύο προγράμματα CNC με GUI στα κινέζικα, ένα εργαλείο για την τροποποίηση των τιμών hash αρχείων, έναν φορητό file server HTTP (HFS), έναν server FTP Serv-U και ένα αντίγραφο του εκτελέσιμου mstsc.exe Υπηρεσίες Πελάτη) που συνδέονταν με τα θύματα μέσω του RDP.”
Εμφύτευση πολλαπλών module RAT σε server MS-SQL
Υπάρχουν δύο αρχικοί Droppers (SQLAGENTIDC.exe ή SQLAGENTVDC.exe) που χρησιμοποιήθηκαν για να εξαλείψουν τις διάφορες διεργασίες εγγραφής (Rnaphin.exe, xmr.exe και winxmr.exe) χρησιμοποιώντας taskkill για να κερδίσουν περισσότερους υπολογιστικούς πόρους εξαλείφοντας τους ανταγωνιστές.
Αργότερα, ο loader εκτελεί το αντίγραφό του που συνδέεται με το server C2 και ελέγχει τη νέα διαδικασία και ρωτά τα Baidu Maps για να αποκτήσει την IP και τη γεωγραφική θέση του θύματος και να στείλει τα στοιχεία που συλλέχθηκαν.
Κατά την επίθεση, γίνεται εγκατάσταση επιπρόσθετων payloads στον Η/Υ του θύματος με την μορφή RAT modules και ενός cryptominer που βασίζεται σε XMRig.
Τα RAT modules χρησιμοποιούν διαφορετικές θύρες, συμπεριλαμβανομένων των 22251, 9383 και 3213, για τη σύνδεση του server C2 για την εξάλειψη του data redundancy.
Έτσι, οι hackers εξορύσσουν τόσο το Monero όσο και ένα άλλο νόμισμα που ονομάζεται VDS, ή το Vollar που συνδυάζει στοιχεία του Monero και του Ethereum.
Οι διαχειριστές δικτύων ενημερώνονται να μην εκθέτουν τους MS-SQL database servers στο Internet και να επιτρέπουν την καταγραφή για να παρακολουθούν και να προειδοποιούν για ύποπτες, μη αναμενόμενες ή επαναλαμβανόμενες προσπάθειες σύνδεσης.
