網(wǎng)絡安全研究人員發(fā)現(xiàn)了一個名為Vollgar的加密挖礦僵尸網(wǎng)絡，該僵尸網(wǎng)絡至少自2018年以來一直在劫持MSSQL服務器，通過發(fā)起暴力攻擊以接管服務器并安裝Monero 和Vollar惡意挖礦軟件。

Vollgar僵尸網(wǎng)絡的攻擊目標是暴露在網(wǎng)上的使用弱憑據(jù)的Microsoft SQL服務器，在過去的幾周中，攻擊者幾乎每天成功感染2000~3000臺服務器。而潛在的受害者分別來自中國、印度、美國、韓國和土耳其的醫(yī)療、航空、IT和電信以及高等教育部門。

Vollgar攻擊首先在MS-SQL服務器上進行暴力登錄嘗試，成功后，允許攻擊者執(zhí)行許多配置更改以運行惡意MS-SQL命令并下載惡意軟件二進制文件。

研究人員表示：“攻擊者還會驗證某些COM類是否可用：WbemScripting.SWbemLocator、Microsoft.Jet.OLEDB.4.0和Windows腳本宿主對象模型(wshom)。這些類既支持WMI腳本，也支持通過MS-SQL執(zhí)行命令，稍后將用于下載初始惡意軟件二進制文件。”

除了確保cmd.exe和ftp.exe可執(zhí)行文件具有必要的執(zhí)行權限外，Vollgar背后的攻擊者還為MS-SQL數(shù)據(jù)庫以及具有較高特權的操作系統(tǒng)創(chuàng)建了新的后門賬戶。

初始設置完成后，攻擊會繼續(xù)創(chuàng)建下載器腳本(兩個VBScript和一個FTP腳本)，這些腳本將“多次”執(zhí)行，每次在本地文件系統(tǒng)上使用不同的目標位置來避免可被發(fā)現(xiàn)。

其中一個名為SQLAGENTIDC.exe/SQLAGENTVDC.exe的初始有效負載首先會殺死一長串進程，目的是確保最大數(shù)量的系統(tǒng)資源，消除其他威脅參與者的活動，并從受感染的計算機中刪除它們的存在。

此外，它還充當不同RAT的投遞器，以及基于XMRig的加密礦工，用于挖掘Monero和稱為VDS或Vollar的ALT幣。

目前，攻擊者將整個基礎設施都保存在受感染的計算機上，具有諷刺意味的是，發(fā)現(xiàn)多個攻擊組織都對它們進行了攻擊。

建議：管理員可以使用開源Powershell腳本檢查他們的機器是否已被Vollgar礦工感染。