La campagne Vollgar cible les serveurs Microsoft SQL

Des chercheurs en sécurité informatique ont dévoilé une campagne malveillante nommée Vollgar. Cette campagne d’infection semble être active depuis Mai 2018 et cible les machines Windows qui exécute des serveurs MS-SQL pour déployer des portes dérobées et d’autres types de logiciels malveillants, y compris des outils d’accès à distance multifonctionnels (RAT) et des cryptomineurs.

Le nom “Vollgar” est inspiré de la crypto-monnaie Vollar que le malware mine et son mode opératoire “vulgaire”. Les chercheurs de Guardicore Labs ont déclaré que l’attaque utilise une technique de force brute sur les mots de passe pour pénétrer les serveurs Microsoft SQL avec des informations d’identification faibles et qui sont exposés à Internet.

Les chercheurs affirment que les pirates informatiques derrière Vollgar ont réussi à infecter quotidiennement près de 2000 à 3000 serveurs de bases de données au cours des dernières semaines, avec des victimes potentielles appartenant aux secteurs de la santé, de l’aviation, des technologies de l’information, des télécommunications et de l’enseignement supérieur en Chine, en Inde, aux États-Unis, en Corée du Sud et en Turquie.

vollgar

Heureusement pour les personnes concernées, les chercheurs ont également distribué un script pour permettre aux administrateurs système de détecter si l’un de leurs serveurs Windows MS-SQL a été compromis par Vollgar.

Chaîne d’attaque de Vollgar

L’attaque Vollgar commence par des tentatives de connexion par force brute sur les serveurs MS-SQL, qui, en cas de succès, permettent au hacker d’exécuter un certain nombre de modifications de configuration pour exécuter des commandes MS-SQL malveillantes et télécharger des fichiers binaires malveillants.

“Les attaquants vérifient [également] que certaines classes COM sont disponibles – WbemScripting.SWbemLocator, Microsoft.Jet.OLEDB.4.0 et Windows Script Host Object Model (wshom). Ces classes prennent en charge les scripts WMI et l’exécution de commandes via MS-SQL, qui va être utilisé plus tard pour télécharger le fichier binaire initial du logiciel malveillant”, ont déclaré les chercheurs.

vollgar

En plus de garantir que les exécutables cmd.exe et ftp.exe disposent des autorisations d’exécution nécessaires, l’opérateur derrière Vollgar crée également de nouveaux comptes d’utilisateurs (portes dérobées) dans la base de données MS-SQL ainsi que sur le système d’exploitation avec des privilèges élevés.

Une fois la configuration initiale terminée, l’attaque continue de créer des scripts de téléchargement (deux scripts VBS et un script FTP), qui sont exécutés “plusieurs fois”, chaque fois avec un emplacement cible différent sur le système de fichiers local pour éviter d’éventuels échecs.

L’une des payloads initiaux, nommé SQLAGENTIDC.exe ou SQLAGENTVDC.exe, commence par mettre fin à une longue liste de processus dans le but de sécuriser la quantité maximale de ressources système ainsi que d’éventuellement éliminer l’activité d’autres pirates informatiques et de supprimer leur présence sur la machine infectée.

De plus, il agit comme un dropper pour différents RAT et un crypto-mineur basé sur XMRig qui exploite Monero et une autre monnaie nommée VDS ou Vollar.

Infrastructures d’attaques hébergées sur les systèmes compromis

Guardicore a déclaré que les pirates responsables de la création de Vollgar maintenaient toute leur infrastructure sur des machines compromises, y compris son principal serveur de commande et de contrôle situé en Chine, qui, ironiquement, avait été compromis par plusieurs groupes de pirates informatiques.

“Parmi les fichiers [sur le serveur C&C] figurait l’outil d’attaque MS-SQL, responsable de l’analyse des plages IP, du forçage brutal de la base de données ciblée et de l’exécution de commandes à distance”, a observé la firme de sécurité informatique.

“En plus, nous avons trouvé deux programmes CNC avec des interfaces graphiques en chinois, un outil pour modifier les valeurs de hachage des fichiers, un serveur de fichiers HTTP portable (HFS), un serveur FTP Serv-U et une copie de l’exécutable mstsc.exe (Microsoft Terminal Services Client) utilisée pour se connecter aux victimes via RDP. “

vollgar

Lorsqu’un client Windows infecté par Vollgar envoie une requête ping au serveur C2, ce dernier reçoit également une variété de détails sur la machine, tels que son adresse IP publique, son emplacement, la version du système d’exploitation, le nom de l’ordinateur et le modèle du processeur.

Déclarant que les deux programmes C2 installés sur le serveur basé en Chine ont été développés par deux fournisseurs différents, Guardicore a déclaré qu’il existe des similitudes dans leurs capacités de contrôle à distance – à savoir le téléchargement de fichiers, l’installation de nouveaux services Windows, l’enregistrement des touches, la capture d’écran, l’activation de la caméra et du microphone et même la possibilité de lancer une attaque par déni de service distribué (DDoS).

Utiliser des mots de passe forts contre les attaques de force brute

Avec environ un demi-million de machines utilisant le service de base de données MS-SQL, cette campagne montre encore que les pirates informatiques s’en prennent aux serveurs de base de données mal protégés pour tenter de siphonner des informations sensibles. Il est essentiel que les serveurs MS-SQL exposés à Internet soient sécurisés avec des informations d’identification solides.

“Ce qui rend ces serveurs de base de données attrayants pour les pirates informatiques en dehors de leur précieuse puissance CPU, c’est la quantité énorme de données qu’ils détiennent”, ont conclu les chercheurs de Guardicore. “Ces machines peuvent éventuellement stocker des informations personnelles telles que des noms d’utilisateur, des mots de passe, des numéros de carte de crédit, etc., qui peuvent tomber entre les mains du pirate avec une simple attaque de force brute.”