网络安全研究人员发现了一场持续已久的恶意攻击，其历史可以追溯到2018年5月，目标是运行MSSQL的Windows服务器，目的是部署后门和其他种类的恶意软件，包括多功能远程访问工具(RATs)和密码管理员。研究人员称，攻击者在过去几周中成功地每天成功感染了近数千台数据库服务器。

值得感谢的是，研究人员还发布了一个脚本，让系统管理员可以检测其任何Windows MSSQL服务器是否已受到此特定威胁的威胁。

Vollgar攻击先是登录在MSSQL服务器上的强行破解，成功后，它允许闯入者执行许多配置更改，以运行恶意MS-SQL命令并下载恶意软件二进制文件。

攻击者也验证某些COM类可用-WbemScripting.SWbemLocator，Microsoft.Jet.OLEDB.4.0和Windows脚本宿主对象模型（wshom）。这些类支持WMI脚本编写和通过MS-SQL执行命令。后来用于下载初始恶意软件二进制文件。

除了确保cmd和ftp可执行文件具有必要的执行权限外，Vollgar背后的操作员还为MS-SQL数据库以及具有较高特权的操作系统创建了新的后门用户。

初始设置完成后，攻击会继续创建下载器脚本（两个VBScript和一个FTP脚本），这些脚本将“多次”执行，每次在本地文件系统上使用不同的目标位置来避免可能的故障。

最初名为SQLAGENTIDC.exe或SQLAGENTVDC.exe，首先着手杀死一长串进程，目的是确保最大数量的系统资源，并消除其他威胁行为者的活动并从中删除它们的存在。

此外，它还充当不同RAT的投递器，以及基于XMRig的加密矿工，用于挖掘Monero和称为VDS或Vollar的替代硬币。