網絡安全研究人員發現了一個名為Vollgar的加密挖礦僵尸網絡，該僵尸網絡至少自2018年以來一直在劫持MSSQL服務器，通過發起暴力攻擊以接管服務器并安裝Monero 和Vollar惡意挖礦軟件。

Vollgar僵尸網絡的攻擊目標是暴露在網上的使用弱憑據的Microsoft SQL服務器，在過去的幾周中，攻擊者幾乎每天成功感染2000~3000臺服務器。而潛在的受害者分別來自中國、印度、美國、韓國和土耳其的醫療、航空、IT和電信以及高等教育部門。

Vollgar攻擊首先在MS-SQL服務器上進行暴力登錄嘗試，成功后，允許攻擊者執行許多配置更改以運行惡意MS-SQL命令并下載惡意軟件二進制文件。

研究人員表示：“攻擊者還會驗證某些COM類是否可用：WbemScripting.SWbemLocator、Microsoft.Jet.OLEDB.4.0和Windows腳本宿主對象模型(wshom)。這些類既支持WMI腳本，也支持通過MS-SQL執行命令，稍后將用于下載初始惡意軟件二進制文件。”

除了確保cmd.exe和ftp.exe可執行文件具有必要的執行權限外，Vollgar背后的攻擊者還為MS-SQL數據庫以及具有較高特權的操作系統創建了新的后門賬戶。

初始設置完成后，攻擊會繼續創建下載器腳本(兩個VBScript和一個FTP腳本)，這些腳本將“多次”執行，每次在本地文件系統上使用不同的目標位置來避免可被發現。

其中一個名為SQLAGENTIDC.exe/SQLAGENTVDC.exe的初始有效負載首先會殺死一長串進程，目的是確保最大數量的系統資源，消除其他威脅參與者的活動，并從受感染的計算機中刪除它們的存在。

此外，它還充當不同RAT的投遞器，以及基于XMRig的加密礦工，用于挖掘Monero和稱為VDS或Vollar的ALT幣。

目前，攻擊者將整個基礎設施都保存在受感染的計算機上，具有諷刺意味的是，發現多個攻擊組織都對它們進行了攻擊。

建議：管理員可以使用開源Powershell腳本檢查他們的機器是否已被Vollgar礦工感染。