Hackers han estado instalando puertas traseras ocultas en miles de servidores MS-SQL


Un grupo de investigadores ha descubierto recientemente una campaña sostenida desde mayo del 2018 hasta la actualidad, hacia servidores con sistemas Windows que estén ejecutando Microsoft SQL (MS-SQL) con el fin de desplegar puertas traseras y otros tipos de malware, entre ellos se incluye las multi-funcionales herramienta de acceso remoto (RATs - Remote Access Tools) y mineros (miners) de criptomonedas.

Nombrada por los expertos como “Vollgar”, donde su modo operandi consiste en emplear contraseñas por medio de ataques de fuerza bruta para obtener acceso a servidores MS-SQL con credenciales débiles y expuestos a Internet.

Según el reporte los atacantes han gestionado con éxito de infección cerca de 2.000 a 3.000 servidores de base de datos, solamente las anteriores semanas, donde los potenciales sectores más afectados son los de cuidados médicos, aviación, tecnologías de la información (TI), telecomunicaciones y universitarios, en los países de China, India, Estados unidos, Corea del Sur y Turquía.

Gráficas de Infección de Vollgar


El ataque de Vollgar comienza con múltiples e excesivos inicios de sesión (fuerza bruta) en los servidores MS-SQL, hasta tener éxito, con la finalidad que el intruso efectúe una serie de cambios de configuración para ejecutar comandos maliciosos MS-SQL y descargar binarios de softwares maliciosos (Malware). Los expertos destacan que también validan que ciertas clases COM estén disponibles, como: “WbemScripting.SWbemLocator, Microsoft.JET.OLEDB.4.0 y Windows Script Host Object Model (wshom)”. Dichas clases soportan secuencias WMI (WMI scripting) y ejecuciones de comando através de MS-SQL, para luego ser utilizadas para descargar el binario inicial de los malware, así como asegurar que los ejecutables cmd.exe y ftp.exe tengan los permisos de ejecución necesarios, para que el operador detrás de Vollgar pueda crear nuevos usuarios de puerta trasera (Backdoor) para la base de datos MS-SQL, como también usuarios con privilegios elevados para el sistema operativo.

Cambios a la configuración


Una vez completada la configuración inicial, el ataque procede a crear tres scripts de descarga (dos VBScripts y un script FTP), que se ejecutan varias veces en las diferentes ubicaciones de destino del sistema de archivo local, como medida de prevención para evitar posibles fallas.

Scripts de descarga


Una de las cargas útiles iniciales, es llamada “SQLAGENTIDC.exe” o “SQLAGENTVDC.exe”, donde primero procede a eliminar una larga lista de procesos con la meta de asegurar la máxima cantidad de recursos del sistema, así como también, eliminar la actividad de otros actores de amenazas y su presencia de la máquina infectada. Además, actúa como un inyector para diferentes RATs y un cripto-minero basado en XMRig, usado para minar Monero y una alt-coin llamada VDS o Vollar.

Secuencia de Ataque de Vollgar


Los investigadores informan que los atacantes mantenían toda su infraestructura en máquinas comprometidas, incluido su servidor primario de comando y control (C2) ubicado en China, el cual, irónicamente, fue encontrado comprometido por más de un grupo de hackers. Esto, lo dedujeron debido a que entre los archivos de dicho C2 encontraron la herramienta responsable de escanear rangos de IP, forzar las bases de datos y ejecutar comandos de forma remota, hacia los servidores MS-SQL. También encontraron dos programas CNC con GUI en chino, una herramienta para modificar los valores de hash de los archivos en un HTTP file server (HFS), un Serv-U FTP y una copia del ejecutable mstsc.exe (Microsoft Terminal Services Client), usada para conectarse con las víctimas a través de RDP.

Herramientas en el C2


Una vez que el equipo era infectado y el servidor C2 recibía los Pings, permitía recibir una variedad de detalles acerca de la máquina, como su IP publica, localización, sistema operativo y versión, nombre de la computadora y modelo del CPU. Actualmente la única mitigación para esta campaña es utilizar contraseñas complejas y fuertes, sobre todo si la base de datos está expuesta a internet. Por suerte, los investigadores lanzaron un Script que permite a los administradores de sistemas detectar si sus servidores Windows MS-SQL han sido comprometidos con esta amenaza.





Fuente:

COMENTARIOS

Nombre

Actualización,3,Actualizaciones,4,Adobe,2,Adware,3,AgentTesla,1,android,31,Antivirus,3,Apache,1,APP,1,Apple,16,Apps,13,APT,2,Arkavia Networks,15,asus,1,Ataques,7,Azure,2,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,6,BCE,1,Bluetooth,1,bootHole,1,Botnet,6,Botnet. Malware,1,Check Point,3,Chile,1,Chips,1,Chrome,3,Ciberataque,5,Cibercrimen,139,Cibercriminales,1,Ciberdelincuencia,13,ciberseguridad,150,Cisco,3,Citrix,5,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,7,CSP,1,CTF,1,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,3,Data Leak,11,Database,2,Datos,2,DDoS,5,Debate,1,Deep Web,5,dlink,1,DNS,1,Domains,1,DoS,2,Ecommerce,3,elasticsearch,1,Email,3,Emotet,2,Empresas,114,enrutadores,1,Estadisticas,1,evento,1,Eventos,6,Evilnum,1,Exchange,3,exploit,8,Exploits,11,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,2,Fileless,1,Fintech,1,Firewall,1,Firmware,2,Flash,1,Framework,1,Freta,1,GARMIN,2,Glueball,1,Gmail,3,GoDaddy,1,google,34,GPS,2,GRUB2,1,Hacking,83,Hardware,7,Hosting,3,HTML5,1,HTTP,1,IBM,1,IGMP,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,IOC,2,ios,5,IoT,4,ipad,1,iphone,1,ISO,1,Joomla,1,LATAM,1,Latinoamerica,1,LG,1,Linux,9,LoLbins,1,LSASS,1,Macromedia,1,Malware,46,Malwares,32,Maze,2,Messenger,1,MFA,1,Microsoft,38,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,Nacional,10,NAS,2,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Openwrt,1,Oracle,2,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,17,Plugins,1,PoC,2,Protocolos,12,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,20,RAT,2,RCE,2,RDoS,1,RDP,3,Recomendaciones,17,Redes,30,redes sociales,12,Redhat,1,Remoto,1,REvil,1,Rookit,1,Rootkit,1,Routers,3,RRSS,2,Ryuk,1,Salt,1,Salud,2,SeguridadTI,3,Servicios,7,Smartphones,29,SMB,5,Sodinokibi,1,Software,23,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Teams,1,TeamViewer,1,Tplink,1,Trickbot,1,Trojan,2,Troyano,3,Update,6,updates,22,USB,1,Videoconferencia,1,VNC,1,VPN,4,Vulnerabilidad,37,Vulnerabilidades,76,Web,8,WER,1,WhatsApp,5,wifi,5,Windows,21,Wordpress,4,Xerox,1,XG,1,Yahoo,1,zeroday,3,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Hackers han estado instalando puertas traseras ocultas en miles de servidores MS-SQL
Hackers han estado instalando puertas traseras ocultas en miles de servidores MS-SQL
https://1.bp.blogspot.com/-YjaocM3OQBI/XoTQK9NsvnI/AAAAAAAAB7g/-Y_OEatipBsbP20Eq0x9MfQH4kKqvdSbgCLcBGAsYHQ/s640/Backdoor%2BMS-SQL.jpg
https://1.bp.blogspot.com/-YjaocM3OQBI/XoTQK9NsvnI/AAAAAAAAB7g/-Y_OEatipBsbP20Eq0x9MfQH4kKqvdSbgCLcBGAsYHQ/s72-c/Backdoor%2BMS-SQL.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/04/hackers-han-estado-instalando-puertas.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/04/hackers-han-estado-instalando-puertas.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy