Случай атаки на серверы MS-SQL с целью установки Ammyy Admin

Атаки на серверы MS-SQL являются основными целями злоумышленников. Они ищут уязвимые MS-SQL-серверы и, получив контроль, устанавливают вредоносное ПО, делая систему общедоступной и используя слабые учетные данные. Злоумышленники выполняют команды для сбора информации о зараженной системе, после чего устанавливают Ammyy Admin и другие вредоносные программы, используя инструмент WGet.

Ammyy Admin, также как и другие инструменты удаленного управления, позволяет злоумышленникам удаленно управлять зараженной системой. В случае данной атаки использовалась устаревшая версия Ammyy Admin (v3.10), что делает эксплуатацию данной версии возможной. Злоумышленники настраивают файл настроек для Ammyy Admin таким образом, чтобы можно было удаленно управлять системой, зная только идентификатор клиента.

Кроме того, злоумышленники пытались получить удаленный доступ к зараженной системе путем повышения привилегий и добавления нового пользователя с использованием инструмента PetitPotato.

Основными способами атак на серверы MS-SQL являются атаки грубой силы и атаки по словарю на системы с уязвимыми учетными данными. Рекомендуется использовать сложные пароли и регулярно менять их, чтобы защитить серверы баз данных. Также важно обновлять Ammyy Admin до последней версии и использовать межсетевые экраны для контроля доступа злоумышленников к серверам баз данных. Если не будут предприняты соответствующие меры, злоумышленники и вредоносное ПО могут продолжать атаковать систему.

URLs

• http://1.220.228.82/aa_v3_protected.exe
• http://1.220.228.82/c.exe
• http://1.220.228.82/mscorsvw.log
• http://1.220.228.82/mscorsvw1.log
• http://1.220.228.82/p.log

MD5

• 1c9c3b4a2753ecab833621701e1b492c
• 55f4a1393e2edafea92d7ebab09c92d6
• 753f5e2fc5bdbc9b2175913d3b883580
• b3b9eb83af47770dbb8e86f95afe9634