كشف باحثو الأمن السيبراني اليوم عن حملة ضارة مستمرة تعود إلى مايو 2018 تستهدف Windows الأجهزة التي تقوم بتشغيل خوادم MS-SQL لنشر الأبواب الخلفية وأنواع أخرى من البرامج الضارة ، بما في ذلك أدوات الوصول عن بعد متعددة الوظائف (RATs) ومُشفِّرات التشفير.
مسمى "Vollgar"بعد عملة Vollar المشفرة التي تنجم عنها وطريقة عملها" المبتذلة "الهجومية ، قال الباحثون في Guardicore Labs إن الهجوم يستخدم قوة غاشمة لكلمة المرور لخرق خوادم Microsoft SQL ذات بيانات الاعتماد الضعيفة المعرضة للإنترنت.
يدعي الباحثون أن المهاجمين تمكنوا من إصابة ما يقرب من 2000-3000 خادم قاعدة بيانات بنجاح على مدار الأسابيع القليلة الماضية ، مع الضحايا المحتملين الذين ينتمون إلى قطاعات الرعاية الصحية والطيران وتكنولوجيا المعلومات والاتصالات والتعليم العالي في جميع أنحاء الصين والهند والولايات المتحدة وكوريا الجنوبية و تركيا.
ولحسن الحظ للمهتمين ، أصدر الباحثون أيضًا نصًا برمجيًا للسماح لمسؤول النظام بالكشف عما إذا كان أيًا منهم Windows تم اختراق خوادم MS-SQL مع هذا التهديد بالذات.
سلسلة هجوم Vollgar: MS-SQL لنظام البرامج الضارة
يبدأ هجوم Vollgar بمحاولات تسجيل الدخول الوحشي على خوادم MS-SQL ، والتي ، عند نجاحها ، تسمح للمتداخل بتنفيذ عدد من تغييرات التكوين لتشغيل أوامر MS-SQL الضارة وتنزيل ثنائيات البرامج الضارة.
"يتحقق المهاجمون (أيضًا) من توفر بعض فئات COM – WbemScripting.SWbemLocator و Microsoft.Jet.OLEDB.4.0 و Windows نموذج كائن مضيف البرنامج النصي (wshom). وقال الباحثون إن هذه الفئات تدعم كلاً من البرمجة النصية WMI وتنفيذ الأوامر من خلال MS-SQL ، والتي سيتم استخدامها فيما بعد لتنزيل البرنامج الثنائي الأولي للبرامج الضارة.
بصرف النظر عن التأكد من أن الملفات التنفيذية cmd.exe و ftp.exe لديها أذونات التنفيذ اللازمة ، فإن المشغل وراء Vollgar يقوم أيضًا بإنشاء مستخدمين مستقلين جدد لقاعدة بيانات MS-SQL وكذلك على نظام التشغيل بامتيازات عالية.
عند الانتهاء من الإعداد الأولي ، يستمر الهجوم في إنشاء برامج نصية للتنزيل (اثنان من VBScripts ونص FTP واحد) ، والتي يتم تنفيذها "بضع مرات" ، في كل مرة باستخدام موقع هدف مختلف على نظام الملفات المحلي لتجنب الفشل المحتمل.
إحدى الحمولات الأولية ، المسماة SQLAGENTIDC.exe أو SQLAGENTVDC.exe ، تمضي أولاً في القضاء على قائمة طويلة من العمليات بهدف تأمين الحد الأقصى من موارد النظام بالإضافة إلى القضاء على نشاط الجهات الفاعلة الأخرى المهددة وإزالة وجودها من آلة مصابة.
علاوة على ذلك ، يعمل بمثابة قطارة لمختلف RATs وعمال تعدين قائم على XMRig يقوم بالتعدين Monero وعملة بديلة تسمى VDS أو Vollar.
البنية التحتية للهجوم المستضافة على الأنظمة المعرضة للخطر
وقالت جوارديكور إن المهاجمين احتفظوا ببنيتهم التحتية بالكامل على أجهزة مخترقة ، بما في ذلك خادم القيادة والتحكم الأساسي الموجود في الصين ، والذي ، من المفارقات ، أنه تم اختراقه من قبل أكثر من مجموعة هجوم.
ولاحظت شركة الأمن السيبراني أن "من بين الملفات (على خادم C&C) كانت أداة هجوم MS-SQL ، المسؤولة عن فحص نطاقات IP ، وإجبار قاعدة البيانات المستهدفة ، وتنفيذ الأوامر عن بُعد".
"بالإضافة إلى ذلك ، وجدنا برنامجين CNC باستخدام واجهة المستخدم الرسومية باللغة الصينية ، وأداة لتعديل قيم تجزئة الملفات ، وخادم ملفات HTTP محمول (HFS) ، وخادم FTP-Serv ونسخة من ملف mstsc.exe القابل للتنفيذ (خدمات Microsoft الطرفية) العميل) يستخدم للتواصل مع الضحايا عبر RDP ".
بمجرد الإصابة Windows يختبر العميل خادم C2 ، ويتلقى الأخير أيضًا مجموعة متنوعة من التفاصيل حول الجهاز ، مثل IP العام والموقع وإصدار نظام التشغيل واسم الكمبيوتر وطراز وحدة المعالجة المركزية.
مشيراً إلى أن البرنامجين C2 المثبتين على الخادم في الصين تم تطويرهما من قبل بائعين مختلفين ، قال Guardicore أن هناك أوجه تشابه في قدرات التحكم عن بعد الخاصة بهم – أي تنزيل الملفات ، تثبيت جديد Windows الخدمات ، وتسجيل المفاتيح ، والتقاط الشاشة ، وتفعيل الكاميرا والميكروفون ، وحتى بدء هجوم رفض الخدمة الموزعة (DDoS).
استخدم كلمات مرور قوية لتجنب هجمات القوة الغاشمة
مع وجود حوالي نصف مليون آلة تشغل خدمة قاعدة بيانات MS-SQL ، فإن الحملة هي إشارة أخرى على أن المهاجمين يسعون وراء خوادم قواعد البيانات المحمية بشكل سيئ في محاولة لسحب المعلومات الحساسة. من الضروري أن يتم تأمين خوادم MS-SQL المعرضة للإنترنت ببيانات اعتماد قوية.
وخلص باحثو جوارديكور إلى أن "ما يجعل خوادم قواعد البيانات هذه جذابة للمهاجمين بصرف النظر عن قوة وحدة المعالجة المركزية الخاصة بهم هو الكمية الهائلة من البيانات التي يمتلكونها". "ربما تقوم هذه الأجهزة بتخزين المعلومات الشخصية مثل أسماء المستخدمين وكلمات المرور وأرقام بطاقات الائتمان وما إلى ذلك ، والتي يمكن أن تقع في أيدي المهاجم باستخدام قوة وحشية بسيطة فقط."
