Neues Botnetz greift MS-SQL-Server an
RAT- und Krypto-Miner-Attacke infiziert täglich 2.000 bis 3.000 Rechner
Der Hauptangriff der Vollgar-Attacke lief über einen CNC-Server in China, auf dem eine MS-SQL-Datenbank und ein Tomcat-Webserver betrieben wurden
Guardicore, Unternehmen für Rechenzentrums- und Cloud-Sicherheit, hat ein neues Botnetz entdeckt, das Windows-Computer durch Brute-Force-Angriffe auf den MS-SQL-Dienst gefährdet. Nach erfolgreicher Infektion nutzen die Angreifer sowohl RAT-Module (Remote Administration Tools, RAT) als auch Krypto-Miner. Der komplizierte Angriffsmechanismus besteht aus mehrstufigen Skripten und verschiedenen Binärdateien, die nacheinander heruntergeladen und ausgeführt werden Seit Mai 2018 ist das weltweite Botnet bereits aktiv, das Guardicore Labs als "Vollgar" bezeichnet, weil es die Kryptowährung VOLLAR schürft und sich dabei vulgärer, aggressiver Angriffsmethoden bedient. Aktuell werden täglich 2.000 bis 3.000 Rechner aus dem Industriesektor, Gesundheits- und Bildungswesen sowie der IT-, Luftfahrt- und Telekommunikationsbranche neu infiziert — besonders betroffene Regionen sind die USA, China, Indien, Südkorea und Türkei.
Der Hauptangriff der Vollgar-Attacke lief über einen CNC-Server in China, auf dem eine MS-SQL-Datenbank und ein Tomcat-Webserver betrieben wurden. Gleich mehrere Hackergruppen hatten den Server kompromittiert und nutzten ihn für eigene Angriffskampagnen. Insgesamt fanden die Guardicore-Sicherheitsforscher fast zehn Hintertüren für den Zugriff auf den Server, die es erlaubten, Inhalte des Dateisystems auszulesen, Registrierungsdaten zu ändern, Dateien herunter- oder hochzuladen und Befehle auszuführen. Trotzdem befand sich der Server weiterhin im regulären Betrieb, um beispielsweise den Datenbankdienst sowie harmlose Hintergrundprozesse auszuführen. Die eigentlichen Betreiber des Servers erkannten nicht, dass verdächtige Aktivitäten von mehreren Nutzern mit erhöhten Zugriffsrechten durchgeführt wurden.
Heißer Kampf um MS-SQL-Ressourcen
Guardicore Labs hat die Anzeichen für eine potentielle Kompromittierung (IOC=Indicator of Compromise) auf seiner Webseite aufgelistet. Hier stellen die Sicherheitsexperten auch ein Powershell-Erkennungsskript zur Verfügung, um Spuren einer Vollgar-Infektion auf betroffenen Computern aufzuspüren. In diesem Fall empfehlen sie, alle Zugangsdaten des MS-SQL-Benutzerkontos auf neue und komplexe Passwörter umzustellen. Weitere Richtlinien zur Minderung von Cyber-Bedrohungen mit Guardicore Centra finden sich in folgendem Blogbeitrag: https://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack/ .
Es gibt eine Vielzahl von Angriffen auf MS-SQL-Server, aber weltweit nur etwa eine halbe Million Rechner, auf denen dieser Datenbankdienst überhaupt ausgeführt wird. Die relativ geringe Zahl potentieller Angriffsziele löst einen hackergruppenübergreifenden Kampf um die Kontrolle dieser IT-Ressourcen aus. Die Datenbankserver speichern große Datenmengen, was sie neben der reinen CPU-Leistung für Angreifer besonders attraktiv macht. Die Server speichern zudem häufig persönliche Informationen wie Benutzernamen, Passwörter oder Kreditkartennummern, die somit schnell in den Besitz der Angreifer fallen können. (Guardicore: ra)
eingetragen: 01.05.20
Newsletterlauf: 28.08.20
GuardiCore: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.