Dinamakan ” Vollgar ” karena serangan ini digunakan untuk menambang Vollar cryptocurrency. Kemudian pola serangannya yang “vulgar”, membuat serangan ini diplesetkan dengan kata Vollgar. Dilansir dari TheHackerNews (3/4), peneliti di Guardicore Labs mengatakan serangan ini menggunakan brute-force untuk bypass server Microsoft SQL dengan keamanan yang lemah.
Para peneliti menyebutkan serangan ini telah menginfeksi hampir 2.000-3.000 server database setiap hari selama beberapa minggu terakhir. Termasuk lembaga layanan kesehatan, penerbangan, IT & telekomunikasi, dan sektor pendidikan tinggi di seluruh China, India, AS, Korea Selatan, dan Turki.
Baca Juga :Â Linux Cryptominer Gunakan VM, Dan Menargetkan Windows Juga macOS
Pola Serangan Backdoor Vollar Pada MS-SQL Server
“Penyerang memvalidasi dulu apa saja yang terdapat dalam server target – seperti WbemScripting.SWbemLocator, Microsoft.Jet.OLEDB.4.0 dan Windows Script Host Object Model (wshom). Kelas-kelas ini mendukung skrip WMI dan eksekusi query melalui MS-SQL, yang nantinya bisa digunakan untuk mengunduh biner malware,” kata para peneliti.
Selain memastikan file cmd.exe dan ftp.exe memiliki izin eksekusi yang diperlukan, operator dibalik serangan Vollgar membuat backdoor baru ke database MS-SQL serta pada sistem operasi SQL Server dengan hak akses tinggi.
Salah satu payload awal, bernama SQLAGENTIDC.exe atau SQLAGENTVDC.exe, mengamankan sumber daya sistem dan menghilangkan seluruh jejak. Selain itu, payload ini bertindak sebagai dropper untuk menggunakan crypto-miner berbasis XMRig yang menambang Monero dan alt-coin yang disebut VDS atau Vollar.
Guardicore mengatakan, para penyerang memegang seluruh infrastruktur mereka padaserver command-and-control utama yang berlokasi di China. Dan ternyata serangan ini dilakukan oleh lebih dari satu kelompok hacker.
“Di antara file [di server C&C] merupakan backdoor dan tools untuk menyerang MS-SQL, yang bertanggung jawab untuk memindai rentang IP. Serta membuat database dengan menjalankan perintah dari jarak jauh,” kata perusahaan keamanan siber itu.
“Selain itu, kami menemukan dua program CNC dengan GUI berbahasa Mandarin, yang berfungsi mengubah nilai hash file, server file HTTP portabel (HFS), server FTP Serv-U dan salinan mstsc.exe yang dapat dieksekusi (Microsoft Terminal Services Client) yang digunakan untuk terhubung ke korban melalui RDP.”
Peneliti menyimpulkan selain penyerang menggunakan kemampuan GPU server untuk mining tapi mereka juga mencuri setiap data yang ada.
“Server yang terkena serangan ini mungkin menyimpan informasi pribadi seperti nama pengguna, kata sandi, nomor kartu kredit, dll., yang dapat jatuh ke tangan penyerang hanya dengan brute-force sederhana.”
Untuk sysadmin MS-SQL server, bisa memeriksa servernya terkena ancaman kasus ini atau tidaknya dengan menggunakan script yang diunggah oleh para peneliti di Github.
