Maggie Malware

Infosec 연구원들은 이미 전 세계에 퍼져 있는 수백 대의 Microsoft SQL 서버를 감염시키는 데 성공한 새로운 맬웨어에 대해 경고하고 있습니다. 위협은 Maggie로 추적되고 있으며 광범위한 침입 기능을 갖추고 있습니다. Maggie 악성코드의 피해자는 대부분 인도, 한국, 중국, 러시아, 베트남, 태국, 미국 및 독일에 있습니다. 멀웨어에 대한 세부 정보는 최근 보안 연구원의 보고서에서 대중에게 공개되었습니다.

감염된 시스템에 배포될 때 Maggie 악성코드는 'sqlmaggieAntiVirus_64.dll'이라는 확장 저장 프로시저 DLL로 위장하며, DEEPSoft Co. Ltd.라는 회사에서 디지털 서명합니다. 이러한 파일은 다음을 통해 SQL 쿼리의 기능을 확장할 수 있습니다. 원격 사용자 인수를 수락하는 API. 이 기능을 통해 Maggie는 장치에 대한 백도어 액세스를 설정하고 50개 이상의 명령을 실행할 수 있습니다.

특정 목표에 따라 공격자는 Maggie에게 시스템 정보 수집, 프로그램 실행, 파일 시스템 관리, 원격 데스크톱 서비스 시작 등을 지시할 수 있습니다. 식별된 명령에는 4개의 '악용' 명령도 포함되어 있어 사이버 범죄자가 침해된 시스템의 특정 작업에 대해 알려진 취약점을 악용하고 있음을 나타낼 수 있습니다.

Maggie 맬웨어는 또한 해커에게 감염된 MS-SQL 서버가 도달할 수 있는 범위 내의 모든 IP 주소에 연결할 수 있는 기능을 제공할 수 있습니다. 또한 Maggie는 활동을 더 잘 마스킹하기 위해 SOCKS5 프록시 기능을 갖추고 있으며 선택한 프록시 서버를 통해 모든 비정상적인 네트워크 패킷을 라우팅할 수 있습니다.