Maggie Malware

„Infosec“ tyrėjai perspėja apie naują kenkėjišką programą, kuri jau sugebėjo užkrėsti šimtus „Microsoft SQL“ serverių, paplitusių visame pasaulyje. Grėsmė stebima kaip Maggie ir yra aprūpinta daugybe įkyrių funkcijų. Kenkėjiškos programos Maggie aukos dažniausiai buvo Indijoje, Pietų Korėjoje, Kinijoje, Rusijoje, Vietname, Tailande, JAV ir Vokietijoje. Išsami informacija apie kenkėjišką programą buvo atskleista visuomenei saugumo tyrėjų ataskaitoje.

Kai Maggie kenkėjiška programa bus įdiegta užkrėstose sistemose, ji bus paslėpta kaip išplėstinės saugomos procedūros DLL, pavadinta „sqlmaggieAntiVirus_64.dll“, kurią skaitmeniniu būdu pasirašys įmonė, pavadinta DEEPSoft Co. Ltd. Šie failai gali išplėsti SQL užklausų funkcionalumą per API, priimanti nuotolinio vartotojo argumentus. Naudodama šią funkciją, Maggie gali sukurti užpakalinių durų prieigą prie įrenginio ir vykdyti daugiau nei 50 komandų.

Atsižvelgdami į konkrečius tikslus, užpuolikai gali nurodyti Maggie surinkti sistemos informaciją, vykdyti programas, valdyti failų sistemą, paleisti nuotolinio darbalaukio paslaugas ir dar daugiau. Nustatytos komandos taip pat apima keturias „Exploit“ komandas, kurios gali reikšti, kad kibernetiniai nusikaltėliai išnaudoja žinomas pažeidžiamumas tam tikriems veiksmams pažeistose sistemose.

„Maggie“ kenkėjiška programa taip pat gali suteikti įsilaužėliams galimybę prisijungti prie bet kurio IP adreso, pasiekiamo užkrėsto MS-SQL serverio. Be to, kad geriau užmaskuotų savo veiklą, Maggie turi SOCKS5 tarpinio serverio funkciją ir gali nukreipti visus neįprastus tinklo paketus per pasirinktą tarpinį serverį.