TOPNetwork > SQL Serverを狙う攻撃キャンペーン「Vollgar」...

Network

SQL Serverを狙う攻撃キャンペーン「Vollgar」、2年前から継続

2020/04/03

Lucian Constantin CSO

 Microsoft SQL Serverが稼働しているサーバーを標的とした攻撃キャンペーン「Vollgar」について、イスラエルのセキュリティ企業Guardicoreが4月1日のブログ記事で報告した。インターネット上のSQLサーバーへのブルートフォース攻撃が昨年12月に増えたことから、同社が精査したところ、この攻撃キャンペーンは2018年5月から現在まで続いていることが分かった。リモートアクセス型トロイの木馬(RAT)と仮想通貨マイニングツールを送り込む攻撃で、1日2000~3000台のデータベースサーバーが感染している。

Credit: Jakarin2521 / EvgeniyShkolenko / Getty Images

 Guardicoreによると、この攻撃キャンペーンの発信源は中国だという。スキャンや攻撃の通信は、大半が中国のIPアドレスからだった。感染で乗っ取られたマシンによるものと見られる。また、C&Cサーバーも中国で稼働しており、Webベースの管理インタフェースのUIも中国語だった。

 攻撃を受けた企業の業種は、ヘルスケア、航空、IT、通信、教育など、多岐にわたる。国別では、中国、インド、米国、韓国、トルコの企業が多かった。

 ブログ記事では次のように説明している。「感染したマシンの60%は、感染期間がごく短かった。一方で、1~2週間以上にわたって感染状態が続いていたサーバーも、全体の20%近くあった。つまりこの攻撃は、痕跡を隠したり、ウイルス対策製品やEDR製品による防御をかわしたりするのが巧みだ。あるいは、そもそもサーバーがこうした防御を取り入れていない可能性も大いにある」

↑ページ先頭へ