แจ้งเตือนแคมเปญใหม่ “Vollgar Botnet” มุ่งเน้นโจมตี Microsoft SQL Server

นักวิจัยจาก Guardicore Labs ได้แจ้งเตือนแคมเปญใหม่ “Vollgar botnet” ที่ใช้ crypto-mining botnet โจมตีฐานข้อมูล Microsoft SQL Server (MSSQL) จุดประสงค์พื่อโจมตีและติดตั้งมัลแวร์ Monero และ Vollar cryptocurrency miners

แคมเปญ “Vollgar Botnet” นี้เริ่มโจมตีตั้งแต่เดือนพฤษภาคม 2561 โดยจะทำการสแกนหาเซิร์ฟเวอร์ที่เปิดให้เข้าถึงพอร์ต SQL Server จากอินเทอร์เน็ต จากนั้นจะทำการโจมตีแบบ brute-force กับฐานข้อมูล Microsoft SQL ที่ตั้งค่ารหัสผ่านที่คาดเดาได้ง่าย เพื่อเข้ายึดเซิร์ฟเวอร์รวมไปถึงเพิ่มผู้ใช้ใหม่ที่มีสิทธิ์เป็นผู้ดูแลระบบ โดยจากนั้นจะทำการติดตั้งมัลแวร์ Monero, Vollar cryptocurrency miners และมัลแวร์ประเภท Remote Access Trojan (RATs) เพื่อขโมยข้อมูลและใช้เป็นฐานโจมตีต่อไป ทั้งนี้พบผู้ติดมัลแวร์ประมาณ 2,000 และ 3,000 ต่อวัน

 

การป้องกันการโจมตีและคำเเนะนำ

Guardicore Labs ได้จัดเตรียมสคริปต์สำหรับตรวจสอบโดยเป็นสคริปต์ภาษา Powershell เพื่อช่วยในการตรวจสอบเส้นทางและ IOCs ของ Vollgar miner

สำหรับผู้ดูแลระบบควรตั้งค่ารหัสผ่านของ Microsoft SQL Server ให้คาดเดาได้ยาก ทำการตรวจสอบและเฝ้าระวังรูปการล็อกอินที่ผิดปกติ และควรเปิดการล็อกอินเข้ามายัง Microsoft SQL Server ได้จากอินเทอร์เน็ต

ที่มา: bleepingcomputer.