Esta nova onda de ataques faz parte de uma campanha denominada Vollgar, tendo como alvo servidores SQL da Microsoft.
Estes servidores SQL da Microsoft constituem um sistema de gestão de base de dados relacional que foi desenvolvido com outras plataformas bastante populares em todo o mundo.
A campanha tem estado ativa durante os últimos dois anos, sendo que surgiu com mais de 120 endereços IP, e com grande parte deles vindo da China. Diariamente estima-se que ataque 3000 servidores por dia e que atinja, consequentemente, diversos setores.
Funcionamento da campanha
A campanha começou com tentativas de ataques de força-bruta em servidores MS-SQL, sendo que tentativas com sucesso levaram a alterações na configuração, consequentemente a execução de comandos arbitrários. Assim que o ataque era executado com sucesso, os atores adicionavam a funcionalidade de eliminar outros utilizadores de forma a assegurar que eram os únicos presentes no sistema e, assim, tirarem vantagem do maior número de recursos. Para que pudessem evitar a identificação com as tentativas falhadas, desenvolviam dois scripts em VB (Visual Basic), incluindo um de FTP (File Transfer Protocol) que podia ser baixado por HTTP, fazendo com que os downloaders fossem sempre executados de localizações diferentes.
As investigações sugerem que o servidor de C&C (Command and Control) principal era da China e 10 backdoors diferentes eram usados para aceder ao sistema, desencadeando a partir daí diversas ações maliciosas - ler ficheiros, alterar o registo, executar scripts, etc.
Eram implementados também vários módulos de ferramentas de administração remota (RAT): inicialmente, dois droppers (SQLAGENTIDC.exe ou SQLAGENTVDC.exe), que eram usados para matar processos de longa lista ( Rnaphin.exe, xmr.exe, e winxmr.exe ), e dessa forma ganhar mais recursos do sistema.
Numa fase posterior, o que o loader faz é fazer uma cópia de si mesma e coneta-se ao servidor de C&C. Daí, são enviadas informações da máquina a esse servidor, e começa o sistema de infeção com mais módulos e payloads; em termos de portas, consta-se a 22251, 9383 e 3213 de forma a ligarem-se ao servidor de C&C.
Recomendações
Os administradores de redes não devem expor servidores de bases de dados MS-SQL na internet e devem de igual modo ativar o login para monitorizar e ativar alertas de quando houver alguma ação suspeita ou tentativas de intrusão no sistema.
Mais informações: https://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack/