Maggie Malware

Infosec pētnieki brīdina par jaunu ļaunprātīgu programmatūru, kas jau spējusi inficēt simtiem Microsoft SQL serveru, kas izplatīti visā pasaulē. Draudi tiek izsekoti kā Megija, un tie ir aprīkoti ar plašu uzmācīgu funkciju kopumu. Ļaunprātīgas programmatūras Maggie upuri galvenokārt atrodas Indijā, Dienvidkorejā, Ķīnā, Krievijā, Vjetnamā, Taizemē, ASV un Vācijā. Sīkāka informācija par ļaunprātīgo programmatūru tika atklāta sabiedrībai drošības pētnieku ziņojumā.

Izvietojot inficētajās sistēmās, Maggie ļaunprogrammatūra maskēsies kā paplašinātās glabātās procedūras DLL ar nosaukumu "sqlmaggieAntiVirus_64.dll", kuru digitāli parakstīs uzņēmums DEEPSoft Co. Ltd. Šie faili var paplašināt SQL vaicājumu funkcionalitāti, izmantojot API, kas pieņem attālo lietotāju argumentus. Izmantojot šo funkcionalitāti, Megija var izveidot aizmugures piekļuvi ierīcei un izpildīt vairāk nekā 50 komandas.

Pamatojoties uz saviem konkrētajiem mērķiem, uzbrucēji var dot Megijai norādījumus iegūt sistēmas informāciju, izpildīt programmas, pārvaldīt failu sistēmu, palaist attālās darbvirsmas pakalpojumus un daudz ko citu. Identificētajās komandās ir iekļautas arī četras komandas “Exploit”, kas varētu norādīt, ka kibernoziedznieki izmanto zināmas ievainojamības, lai veiktu noteiktas darbības uzlauztajās sistēmās.

Maggie ļaunprogrammatūra var arī nodrošināt hakeriem iespēju izveidot savienojumu ar jebkuru IP adresi inficētā MS-SQL servera sasniedzamībā. Turklāt, lai labāk maskētu savas darbības, Maggie ir aprīkota ar SOCKS5 starpniekservera funkcionalitāti un var maršrutēt visas neparastās tīkla paketes caur izvēlēto starpniekserveri.