![\"Windows](\"https:\/\/thehackernews.com\/images\/-TVfv6kOkL1o\/XoR71snpwcI\/AAAAAAAAAKY\/UWRfpbO8GQYjtKBDpbFxkY74uqu0fo35wCLcBGAsYHQ\/s728-e100\/mssql-malware-attack.jpg\" "\\"Windows")
<\/a><\/div>\nFelizmente para os interessados, os pesquisadores tamb\u00e9m lan\u00e7aram um script para permitir que os administradores de sistemas detectem se algum servidor Windows MS-SQL foi comprometido com essa amea\u00e7a espec\u00edfica.<\/p>\n
<\/p>\n
Cadeia de ataque Vollgar: MS-SQL para malware do sistema<\/strong><\/p>\n O ataque Vollgar come\u00e7a com tentativas de login de for\u00e7a bruta nos servidores MS-SQL, que, quando bem-sucedidas, permitem que o intruso execute v\u00e1rias altera\u00e7\u00f5es na configura\u00e7\u00e3o para executar comandos MS-SQL maliciosos e baixar bin\u00e1rios de malware.<\/p>\n <\/p>\n “Os invasores tamb\u00e9m validam que certas classes COM est\u00e3o dispon\u00edveis – WbemScripting.SWbemLocator, Microsoft.Jet.OLEDB.4.0 e Windows Script Host Object Model (wshom). Essas classes oferecem suporte a scripts WMI e \u00e0 execu\u00e7\u00e3o de comandos por meio do MS-SQL, que ser\u00e1 usado posteriormente para baixar o bin\u00e1rio inicial do malware “, conforme os pesquisadores.<\/p>\n <\/p>\n Al\u00e9m de garantir que os execut\u00e1veis \u200b\u200bcmd.exe e ftp.exe tenham as permiss\u00f5es de execu\u00e7\u00e3o necess\u00e1rias, o operador por tr\u00e1s do Vollgar tamb\u00e9m cria novos usu\u00e1rios backdoor no banco de dados MS-SQL e no sistema operacional com privil\u00e9gios elevados.<\/p>\n <\/p>\n Ap\u00f3s a conclus\u00e3o da configura\u00e7\u00e3o inicial, o ataque continua a criar scripts de download (dois scripts VBS e um script FTP), que s\u00e3o executados “algumas vezes”, cada vez com um local de destino diferente no sistema de arquivos local para evitar poss\u00edveis falhas.<\/p>\n <\/p>\n Uma das cargas de pagamento iniciais, denominada SQLAGENTIDC.exe ou SQLAGENTVDC.exe, primeiro elimina uma longa lista de processos com o objetivo de garantir a quantidade m\u00e1xima de recursos do sistema, al\u00e9m de eliminar a atividade de outros atores de amea\u00e7as e remover sua presen\u00e7a do diret\u00f3rio m\u00e1quina infectada.<\/p>\n <\/p>\n Al\u00e9m disso, ele atua como conta-gotas para diferentes RATs e um cripto-minerador baseado em XMRig que extrai Monero e uma moeda alternativa chamada VDS ou Vollar.<\/p>\n <\/p>\n Infraestrutura de ataque hospedada em sistemas comprometidos<\/strong><\/p>\n Guardicore disse que os invasores mantiveram toda a sua infraestrutura em m\u00e1quinas comprometidas, incluindo o servidor principal de comando e controle localizado na China, que, ironicamente, foi encontrado comprometido por mais de um grupo de ataque.<\/p>\n <\/p>\n “Entre os arquivos [no servidor C&C] estava a ferramenta de ataque MS-SQL, respons\u00e1vel por verificar os intervalos de IP, for\u00e7ar brutalmente o banco de dados alvo e executar comandos remotamente”, observou a empresa de seguran\u00e7a cibern\u00e9tica.<\/p>\n <\/p>\n “Al\u00e9m disso, encontramos dois programas CNC com GUI em chin\u00eas, uma ferramenta para modificar os valores de hash dos arquivos, um servidor de arquivos HTTP port\u00e1til (HFS), servidor Serv-U FTP e uma c\u00f3pia do execut\u00e1vel mstsc.exe (Microsoft Terminal Services Cliente) usado para conectar-se \u00e0s v\u00edtimas pelo RDP. “<\/p>\n <\/p>\n<\/a><\/div>\n