Cabecera-v2-web.jpg

Vollgar: Campaña dirigida a servidores MS-SQL con el fin de instalar backdoor


Recientemente un grupo de investigadores descubrió una campaña cuyo fin es instalar backdoors, malwares, herramientas de acceso remoto (RAT) multifuncionales y criptomineros en equipos Windows que ejecutan servidores MS-SQL. Los investigadores han bautizado a esta campaña como "Vollgar" y afirman que el primer incidente se registró en mayo de 2018 en la Red de Sensores Globales de Guardicore (GGSN), una red de honeypots de alta interacción, desde entonces los ciberdelincuentes han logrado infectar con éxito miles de servidores de base de datos, pero durante las últimas semanas han infectado entre 2000 a 3000 servidores diariamente, las víctimas potenciales pertenecen a los sectores de salud, aviación, informática, telecomunicaciones y educación superior en China, India, Estados Unidos, Corea del Sur y Turquía.

Los ataques de Vollgar se originaron desde 120 direcciones IPs, la gran mayoría de las cuales se encuentran en China, probablemente estas son máquinas previamente comprometidas y utilizadas por los ciberdelincuentes para escanear e infectar a nuevas víctimas. El ataque se origina con intentos de inicio de sesión mediante fuerza bruta en los servidores MS-SQL publicados hacia internet, una vez que el ciberdelincuente gana acceso al servidor, realiza una serie de cambios en la configuración de la base de datos para permitir la ejecución de comandos MS-SQL maliciosos y descargar malware.

Los ciberdelincuentes además se aseguran que las clases COM se encuentren disponibles (WbemScripting.SWbemLocator, Microsoft.Jet.OLEDB.4.0 y Windows Script Host Object Model (wshom)), las mismas admiten la secuencia de comandos WMI y ejecución de comandos mediante MS-SQL. También se aseguran que los archivos cmd[.]exe y ftp[.]exe tengan permisos de ejecución, crean nuevos usuarios en la base de datos MS-SQL y en el sistema operativo con privilegios elevados para utilizarlos como puerta trasera.

Con el fin de evitar fallas en el ataque, los ciberdelincuentes proceden a crear tres scripts de descarga (dos VBScripts y un script FTP), que se ejecutan "un par de veces", cada vez con una ubicación de destino diferente en el sistema de archivos local, obteniendo así varias copias de sus archivos maliciosos y lograr un ataque exitoso.

El ataque finaliza con una llamada a SQLAGENTIDC[.]exe o SQLAGENTVDC[.]exe, que primero elimina una larga lista de procesos con el objetivo de asegurar la máxima cantidad de recursos del sistema, tambien se encarga de eliminar la actividad de otros cibercriminales si existiese, descarga en el servidor infectado múltiples módulos RAT y un minador de criptomonedas basado en XMRig que extrae la criptomoneda "Monero" y una criptomoneda alternativa llamada "VDS" o "Vollar".

Según los investigadores, el servidor CNC principal de "Vollgar" donde se encuentra toda su infraestructura está situado en China y en él se encontraron dos programas CNC con GUI en chino.

Los dos programas CNC hallados en el servidor fueron desarrollados por dos proveedores diferentes, pero hay similitudes en sus capacidades de control remoto, los mismos podrían descargar archivos, instalar nuevos servicios de Windows, registrar las pulsaciones de las teclas, capturar la pantalla, activar la cámara y el micrófono e incluso iniciar un ataque de denegación de servicio distribuido (DDoS).

Cabe destacar que los investigadores descubrieron que el servidor principal de CNC se vio comprometido por más de un grupo de ciberdelincuentes. En él, encontraron casi diez puertas traseras diferentes que se utilizaban para acceder al servidor, leer el contenido de su sistema de archivos, modificar su registro, descargar y cargar archivos y ejecutar comandos.

Recomendaciones:

  • Verifique que su servidor no se encuentre infectado, para ello utilice el siguiente script Powershell; en el caso de encontrar indicios de que el servidor ha sido comprometido, aparecerá un mensaje como el siguiente:

    1. Ponga el servidor en cuarentena inmediatamente para evitar que otros equipos en la red se vean afectados.
    2. Elimine todos usuarios creados, así como los archivos descargados por los ciberdelincuentes, los mismos se encuentran en la ruta indicada por el script.
    3. Cambie todas las contraseña de todos los usuarios del sistema operativo así como las contraseñas de usuario de la base de datos.
  • No exponga su de base de datos hacia internet, y si lo hace filte el acceso a la misma sólo a determinadas IPs.
  • Establezca contraseñas seguras y robustas para el acceso a MS-SQL, con el fin de evitar ataques por fuerza bruta.
  • En caso de tener sospechas de que su servidor ha sido infectado, puede reportar a abuse@cert.gov.py.


Recomendaciones:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11