Servidores Microsoft SQL mal gerenciados são o alvo de uma nova campanha projetada para propagar uma categoria de malware chamada CLR SqlShell, que facilita a implantação de mineradores de criptomoedas e ransomware.
O método de ataque envolve o uso de procedimento armazenado CLR para instalar malware em servidores MS SQL, juntando-se a outras abordagens como o comando xp_cmdshell, que gera um shell de comando do Windows e passa uma instrução como entrada para execução.
Algumas das técnicas conhecidas empregadas por agentes de ameaças, incluindo aquelas associadas a LemonDuck, MyKings (também conhecido como DarkCloud ou Smominru) e Vollgar, dizem respeito à exploração de servidores MS SQL expostos à Internet por meio de força bruta e ataques de dicionário para executar comandos xp_cmdshell e OLE procedimentos armazenados e executar malware.
Além do mais, SqlShells chamados SqlHelper, CLRSQL e CLR_module foram usados por diferentes agentes de ameaças para escalar privilégios em servidores comprometidos e lançar ransomware.
O SqlShell pode instalar malware adicional, como backdoors, mineradores de moedas e proxyware, ou pode executar comandos maliciosos recebidos de agentes de ameaças de maneira semelhante ao web shell.