요약
- Guardicore 연구진이 2018년 5월을 기점으로 MS-SQL 서버 사용 윈도우를 대상의 장기적 공격 트렌드 발견.
- 공격 형태 : 패스워드 무작위 대입 공격으로 시스템에 침투
→ 원격 명령어 실행이 가능하도록 서버 설정 변경,
다수의 백도어와 악성 모듈을 설치 (ex 원격 접근 툴(RAT), 모네로(XML), 볼라(VDS) 등의 가상화폐채굴기)
- 캠페인 이름 : the Vollgar 캠페인 (Vollar 가상화폐 이름 + 단어 Vulgar(저속한)를 합성해 명칭)
- 캠페인 규모 : 1일 평균 2000 ~ 3000대 이상의 DB 감염
- 캠페인 대상 : 헬스케어, 항공, IT, 통신, 고등 교육 분야 등을 포함한 다양한 산업 분야를 타겟.
- 최초 공격 : 2018년 5월 최초 발견 당시 감염된 것으로 추정된 약 120개 가량의 중국 소재 IP로부터 시작.
대부분의 IP가 짧은 기간 이용되는 단기 공격 활용에 그쳤으나, 일부 공격 IP 는 3개월 이상 지속적인 공격 악용되기도 함
- 감염 기간 : 60% - 2일 이하의 단기 공격에 이용됨 , 20% : 최소 1주 - 2주간 공격에 이용, 10% : 악성코드에 의해 재 감염
- 대응 방법 : DB서버의 외부 노출 제한, 감염 시스템 탐지 스크립트(hxxps://github.com/guardicore/labs_campaigns/tree/master/Vollgar) 및
IOC로 감염 여부 확인.
- IOC
① Domain
a.vollar.ga
aa.vollar.ga
b.vollar.ga
c.vollar.ga
ca.vollar.ga
d.vollar.ga
da.vollar.ga
f.vollar.ga
h.vollar.ga
ja.vollar.ga
k.vollar.ga
m.vollar.ga
ma.vollar.ga
n.vollar.ga
na.vollar.ga
o.vollar.ga
oa.vollar.ga
ob.vollar.ga
s.vollar.ga
sa.vollar.ga
t.vollar.ga
ta.vollar.ga
v.vollar.ga
x.vollar.ga
xa.vollar.ga
z.vollar.ga
② IP
183.131.3.196
192.37.90.118
39.109.116.162
154.221.26.108
103.53.211.94
185.172.66.203
51.105.249.223 *Microsoft Limited UK
154.211.14.66
154.221.19.221
145.239.23.7
180.97.220.5
207.180.202.208
참고자료
출처 : hxxps://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack/
'Incident Report' 카테고리의 다른 글
| [2020.08.19] DDoS 공격 협박 메일 캠페인(by. Fancy Bear, Armada Collective 주장그룹) (0) | 2020.08.19 |
|---|---|
| [2019.12.09] 오션로터스 BMW, 현대자동차 네트워크 공격 포착 (0) | 2019.12.12 |
| [2019.11.15] 캐나다 누나부트준주. 11월 2일 Doppelpaymer 랜섬웨어 감염된 것으로 밝혀져 (0) | 2019.11.15 |
| [2019.11.13] 멕시코 PEMEX 오일, DoppelPaymer 랜섬웨어 감염 (0) | 2019.11.13 |
| [2019.11.05] TA505 그룹 활동 재개 가능성 포착 (0) | 2019.11.06 |