[2020.04.03]MS-SQL 서버 타겟 Vollgar 공격 캠페인 발견

요약

- Guardicore 연구진이 2018년 5월을 기점으로 MS-SQL 서버 사용 윈도우를 대상의 장기적 공격 트렌드 발견.

- 공격 형태 : 패스워드 무작위 대입 공격으로 시스템에 침투

→ 원격 명령어 실행이 가능하도록 서버 설정 변경, 

     다수의 백도어와 악성 모듈을 설치 (ex 원격 접근 툴(RAT), 모네로(XML), 볼라(VDS) 등의 가상화폐채굴기)

- 캠페인 이름 : the Vollgar 캠페인 (Vollar 가상화폐 이름 + 단어 Vulgar(저속한)를 합성해 명칭)

- 캠페인 규모 : 1일 평균 2000 ~ 3000대 이상의 DB 감염

- 캠페인 대상 : 헬스케어, 항공, IT, 통신, 고등 교육 분야 등을 포함한 다양한 산업 분야를 타겟.

- 최초 공격 : 2018년 5월 최초 발견 당시 감염된 것으로 추정된 약 120개 가량의 중국 소재 IP로부터 시작. 

     대부분의 IP가 짧은 기간 이용되는 단기 공격 활용에 그쳤으나, 일부 공격 IP 는 3개월 이상 지속적인 공격 악용되기도 함

- 감염 기간 : 60% - 2일 이하의 단기 공격에 이용됨 , 20% : 최소 1주 - 2주간 공격에 이용, 10% : 악성코드에 의해 재 감염 

- 대응 방법 : DB서버의 외부 노출 제한, 감염 시스템 탐지 스크립트(hxxps://github.com/guardicore/labs_campaigns/tree/master/Vollgar) 및 

                 IOC로 감염 여부 확인.

- IOC 

① Domain

a.vollar.ga

aa.vollar.ga

b.vollar.ga

c.vollar.ga

ca.vollar.ga

d.vollar.ga

da.vollar.ga

f.vollar.ga

h.vollar.ga

ja.vollar.ga

k.vollar.ga

m.vollar.ga

ma.vollar.ga

n.vollar.ga

na.vollar.ga

o.vollar.ga

oa.vollar.ga

ob.vollar.ga

s.vollar.ga

sa.vollar.ga

t.vollar.ga

ta.vollar.ga

v.vollar.ga

x.vollar.ga

xa.vollar.ga

z.vollar.ga

② IP

183.131.3.196

192.37.90.118

39.109.116.162

154.221.26.108

103.53.211.94

185.172.66.203

51.105.249.223   *Microsoft Limited UK

154.211.14.66

154.221.19.221

145.239.23.7

180.97.220.5

207.180.202.208

참고자료

출처 : hxxps://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack/