Начиная с мая 2018 года, киберпреступники в ходе вредоносной кампании Vollgar ежедневно взламывают путем брутфорса тысячи уязвимых серверов Microsoft SQL (MSSQL), устанавливают бэкдоры и загружают майнеры криптопвалюты и трояны для удаленного доступа.
Как сообщили специалисты из команды Guardicore Labs, данная вредоносная кампания по-прежнему активно заражает от 2 тыс. до 3 тыс. серверов MSSQL каждый день. Кампания получила название Vollgar, поскольку преступники размещают на скомпрометированных серверах скрипты для добычи криптовалюты Monero (XMR) и Vollar (VDS).
По словам экспертов, атаки Vollgar осуществляются примерно с 120 IP-адресов, расположенных в основном в Китае. Предположительно, они представляют собой ранее взломанные MSSQL-серверы, использующиеся для сканирования Сети на предмет других потенциальных целей.
«Главный управляющий сервер Vollgar работал с компьютера в Китае. Было установлено, что сервер с базой данных MS-SQL и web-сервером Tomcat был скомпрометирован более чем одной группировкой. Мы обнаружили почти десять различных бэкдоров, используемых для доступа к компьютеру, чтения содержимого его файловой системы, изменения реестра, загрузки и выгрузки файлов и выполнения команд. Тем не менее, устройство работало в обычном режиме. Вредоносную активность можно зафиксировать среди запущенных задач, активных сеансов и списков пользователей с административными привилегиями, однако владельцы сервера это не замечали», — сообщили эксперты.
Преступники могут выполнять широкий спектр вредоносных действий с помощью двух C&C-серверов, используемых на протяжении всей кампании: от загрузки файлов, установки служб Windows и запуска кейлоггеров с возможностью создания снимков экрана, активации web-камеры или микрофона на скомпрометированном сервере, а также осуществление DDoS-атак.
Жертвами вредоносной кампании стали компании и предприятия разных отраслей промышленности, включая здравоохранение, авиацию, информационные технологии, телекоммуникации и высшее образование в Китае, Индии, США, Южной Корее и Турции.

Источник: https://www.securitylab.ru/news/506360.php