網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一個(gè)名為Vollgar的加密挖礦僵尸網(wǎng)絡(luò)，該僵尸網(wǎng)絡(luò)至少自2018年以來一直在劫持MSSQL服務(wù)器，通過發(fā)起暴力攻擊以接管服務(wù)器并安裝Monero 和Vollar惡意挖礦軟件。

Vollgar僵尸網(wǎng)絡(luò)的攻擊目標(biāo)是暴露在網(wǎng)上的使用弱憑據(jù)的Microsoft SQL服務(wù)器，在過去的幾周中，攻擊者幾乎每天成功感染2000~3000臺服務(wù)器。而潛在的受害者分別來自中國、印度、美國、韓國和土耳其的醫(yī)療、航空、IT和電信以及高等教育部門。

Vollgar攻擊首先在MS-SQL服務(wù)器上進(jìn)行暴力登錄嘗試，成功后，允許攻擊者執(zhí)行許多配置更改以運(yùn)行惡意MS-SQL命令并下載惡意軟件二進(jìn)制文件。

研究人員表示：“攻擊者還會驗(yàn)證某些COM類是否可用：WbemScripting.SWbemLocator、Microsoft.Jet.OLEDB.4.0和Windows腳本宿主對象模型(wshom)。這些類既支持WMI腳本，也支持通過MS-SQL執(zhí)行命令，稍后將用于下載初始惡意軟件二進(jìn)制文件。”

除了確保cmd.exe和ftp.exe可執(zhí)行文件具有必要的執(zhí)行權(quán)限外，Vollgar背后的攻擊者還為MS-SQL數(shù)據(jù)庫以及具有較高特權(quán)的操作系統(tǒng)創(chuàng)建了新的后門賬戶。

初始設(shè)置完成后，攻擊會繼續(xù)創(chuàng)建下載器腳本(兩個(gè)VBScript和一個(gè)FTP腳本)，這些腳本將“多次”執(zhí)行，每次在本地文件系統(tǒng)上使用不同的目標(biāo)位置來避免可被發(fā)現(xiàn)。

其中一個(gè)名為SQLAGENTIDC.exe/SQLAGENTVDC.exe的初始有效負(fù)載首先會殺死一長串進(jìn)程，目的是確保最大數(shù)量的系統(tǒng)資源，消除其他威脅參與者的活動，并從受感染的計(jì)算機(jī)中刪除它們的存在。

此外，它還充當(dāng)不同RAT的投遞器，以及基于XMRig的加密礦工，用于挖掘Monero和稱為VDS或Vollar的ALT幣。

目前，攻擊者將整個(gè)基礎(chǔ)設(shè)施都保存在受感染的計(jì)算機(jī)上，具有諷刺意味的是，發(fā)現(xiàn)多個(gè)攻擊組織都對它們進(jìn)行了攻擊。

建議：管理員可以使用開源Powershell腳本檢查他們的機(jī)器是否已被Vollgar礦工感染。