Un grupo de investigadores ha descubierto recientemente una campaña sostenida desde mayo del 2018 hasta la actualidad, hacia servidores con sistemas Windows que estén ejecutando Microsoft SQL (MS-SQL) con el fin de desplegar puertas traseras y otros tipos de malware, entre ellos se incluye las multi-funcionales herramienta de acceso remoto (RATs - Remote Access Tools) y mineros (miners) de criptomonedas.
Nombrada por los expertos como “Vollgar”, donde su modo operandi consiste en emplear contraseñas por medio de ataques de fuerza bruta para obtener acceso a servidores MS-SQL con credenciales débiles y expuestos a Internet.
Según el reporte los atacantes han gestionado con éxito de infección cerca de 2.000 a 3.000 servidores de base de datos, solamente las anteriores semanas, donde los potenciales sectores más afectados son los de cuidados médicos, aviación, tecnologías de la información (TI), telecomunicaciones y universitarios, en los países de China, India, Estados unidos, Corea del Sur y Turquía.
Gráficas de Infección de Vollgar
El ataque de Vollgar comienza con múltiples e excesivos inicios de sesión (fuerza bruta) en los servidores MS-SQL, hasta tener éxito, con la finalidad que el intruso efectúe una serie de cambios de configuración para ejecutar comandos maliciosos MS-SQL y descargar binarios de softwares maliciosos (Malware). Los expertos destacan que también validan que ciertas clases COM estén disponibles, como: “WbemScripting.SWbemLocator, Microsoft.JET.OLEDB.4.0 y Windows Script Host Object Model (wshom)”. Dichas clases soportan secuencias WMI (WMI scripting) y ejecuciones de comando através de MS-SQL, para luego ser utilizadas para descargar el binario inicial de los malware, así como asegurar que los ejecutables cmd.exe y ftp.exe tengan los permisos de ejecución necesarios, para que el operador detrás de Vollgar pueda crear nuevos usuarios de puerta trasera (Backdoor) para la base de datos MS-SQL, como también usuarios con privilegios elevados para el sistema operativo.
Cambios a la configuración
Una vez completada la configuración inicial, el ataque procede a crear tres scripts de descarga (dos VBScripts y un script FTP), que se ejecutan varias veces en las diferentes ubicaciones de destino del sistema de archivo local, como medida de prevención para evitar posibles fallas.
Scripts de descarga
Una de las cargas útiles iniciales, es llamada “SQLAGENTIDC.exe” o “SQLAGENTVDC.exe”, donde primero procede a eliminar una larga lista de procesos con la meta de asegurar la máxima cantidad de recursos del sistema, así como también, eliminar la actividad de otros actores de amenazas y su presencia de la máquina infectada. Además, actúa como un inyector para diferentes RATs y un cripto-minero basado en XMRig, usado para minar Monero y una alt-coin llamada VDS o Vollar.
Secuencia de Ataque de Vollgar
Los investigadores informan que los atacantes mantenían toda su infraestructura en máquinas comprometidas, incluido su servidor primario de comando y control (C2) ubicado en China, el cual, irónicamente, fue encontrado comprometido por más de un grupo de hackers. Esto, lo dedujeron debido a que entre los archivos de dicho C2 encontraron la herramienta responsable de escanear rangos de IP, forzar las bases de datos y ejecutar comandos de forma remota, hacia los servidores MS-SQL. También encontraron dos programas CNC con GUI en chino, una herramienta para modificar los valores de hash de los archivos en un HTTP file server (HFS), un Serv-U FTP y una copia del ejecutable mstsc.exe (Microsoft Terminal Services Client), usada para conectarse con las víctimas a través de RDP.
Herramientas en el C2
Una vez que el equipo era infectado y el servidor C2 recibía los Pings, permitía recibir una variedad de detalles acerca de la máquina, como su IP publica, localización, sistema operativo y versión, nombre de la computadora y modelo del CPU.
Actualmente la única mitigación para esta campaña es utilizar contraseñas complejas y fuertes, sobre todo si la base de datos está expuesta a internet. Por suerte, los investigadores lanzaron un Script que permite a los administradores de sistemas detectar si sus servidores Windows MS-SQL han sido comprometidos con esta amenaza.
Fuente:
COMENTARIOS