Maggie Malware

Infosecin tutkijat varoittavat uudesta haittaohjelmasta, joka on jo onnistunut saastuttamaan satoja Microsoft SQL -palvelimia kaikkialla maailmassa. Uhkaa seurataan nimellä Maggie, ja se on varustettu laajalla joukolla häiritseviä ominaisuuksia. Maggie-haittaohjelman uhrit ovat olleet enimmäkseen Intiassa, Etelä-Koreassa, Kiinassa, Venäjällä, Vietnamissa, Thaimaassa, Yhdysvalloissa ja Saksassa. Haittaohjelman yksityiskohdat paljastettiin yleisölle tietoturvatutkijoiden hiljattain tekemässä raportissa.

Kun Maggie-haittaohjelma otetaan käyttöön tartunnan saaneissa järjestelmissä, se naamioituu Extended Stored Procedure DLL:ksi nimeltä "sqlmaggieAntiVirus_64.dll", jonka DEEPSoft Co. Ltd -niminen yritys allekirjoittaa digitaalisesti. Nämä tiedostot voivat laajentaa SQL-kyselyjen toimivuutta API, joka hyväksyy etäkäyttäjien argumentit. Tämän toiminnon avulla Maggie voi luoda takaoven pääsyn laitteeseen ja suorittaa yli 50 komentoa.

Erityisten tavoitteidensa perusteella hyökkääjät voivat ohjata Maggiea keräämään järjestelmätietoja, suorittamaan ohjelmia, hallitsemaan tiedostojärjestelmää, käynnistämään etätyöpöytäpalveluita ja paljon muuta. Tunnistetut komennot sisältävät myös neljä 'Exploit'-komentoa, jotka voivat viitata siihen, että kyberrikolliset käyttävät hyväkseen tunnettuja haavoittuvuuksia tiettyihin toimiin murretuissa järjestelmissä.

Maggie-haittaohjelma voi myös tarjota hakkereille mahdollisuuden muodostaa yhteys mihin tahansa IP-osoitteeseen tartunnan saaneen MS-SQL-palvelimen ulottuvilla. Lisäksi Maggie on varustettu SOCKS5-välityspalvelintoiminnalla peittääkseen toimintaansa paremmin ja voi reitittää kaikki epänormaalit verkkopaketit valitun välityspalvelimen kautta.