警惕:Vollgar僵尸网络每天成功感染近3,000台MSSQL服务器进行攻击以接管服务器并安装Monero和Vollar恶意软件。Vollgar僵尸网络以使用弱凭据在线暴露的MicrosoftSQL服务器为目标。在过去的几周里,攻击者几乎每天都能感染2,000到3,000台服务器。潜在受害者来自中国、印度、美国、韩国和土耳其的医疗保健、航空、IT和电信以及高等教育部门。Vollgar攻击始于对MS-SQL服务器的暴力登录尝试,成功后,攻击者可以执行大量配置更改以运行恶意MS-SQL命令并下载恶意软件二进制文件。“攻击者还验证某些COM类是否可用:WbemScripting.SWbemLocator、Microsoft.Jet.OLEDB.4.0和Windows脚本主机对象模型(wshom)。这些类支持WMI脚本和通过MS-SQL执行命令的访问稍后将用于下载初始恶意软件二进制文件。”除了确保cmd.exe和ftp.exe可执行文件具有必要的执行权限外,Vollgar背后的攻击者还为MS-SQL数据库创建了一个数据库,并为高权限操作系统创建了新的后门帐户。一旦初始设置完成,攻击继续创建下载器脚本(两个VBScript和一个FTP脚本),这些脚本将被执行“多次”,每次使用本地文件系统上的不同目标位置以避免检测。初始有效负载之一,名为SQLAGENTIDC.exe/SQLAGENTVDC.exe,首先杀死一长串进程,目的是保护最大数量的系统资源,消除其他威胁行为者的活动,并从受感染的计算机中删除它们的存在。此外,它充当滴管不同的RAT,以及用于挖掘Monero的基于XMRig的加密矿工和称为VDS或Vollar的ALT硬币。目前,攻击者将整个基础设施保留在受感染的计算机上s,具有讽刺意味的是,已经看到多个攻击组织以他们为目标。建议:管理员可以使用开源Powershell脚本来检查他们的机器是否已被Vollgar矿工感染。
