Maggie Malware

Badacze Infosec ostrzegają przed nowym złośliwym oprogramowaniem, które zdołało już zainfekować setki serwerów Microsoft SQL rozsianych po całym świecie. Zagrożenie jest śledzone jako Maggie i jest wyposażone w rozległy zestaw natrętnych funkcji. Ofiary szkodliwego oprogramowania Maggie znajdowały się głównie w Indiach, Korei Południowej, Chinach, Rosji, Wietnamie, Tajlandii, Stanach Zjednoczonych i Niemczech. Szczegóły dotyczące złośliwego oprogramowania zostały ujawnione opinii publicznej w raporcie opracowanym niedawno przez badaczy bezpieczeństwa.

Po wdrożeniu na zainfekowanych systemach, złośliwe oprogramowanie Maggie będzie ukrywać się pod postacią biblioteki DLL Extended Stored Procedure o nazwie „sqlmaggieAntiVirus_64.dll”, która zostanie podpisana cyfrowo przez firmę o nazwie DEEPSoft Co. Ltd. Pliki te mogą rozszerzyć funkcjonalność zapytań SQL za pośrednictwem API akceptujące argumenty użytkownika zdalnego. Dzięki tej funkcjonalności Maggie może ustanowić dostęp do urządzenia przez tylne drzwi i wykonać ponad 50 poleceń.

W oparciu o swoje konkretne cele, osoby atakujące mogą poinstruować Maggie, aby przechwyciła informacje o systemie, uruchomiła programy, zarządzała systemem plików, uruchomiła usługi zdalnego pulpitu i nie tylko. Zidentyfikowane polecenia obejmują również cztery „Wykorzystaj”, co może wskazywać, że cyberprzestępcy wykorzystują znane luki do pewnych działań na naruszonych systemach.

Malware Maggie może również zapewnić hakerom możliwość połączenia się z dowolnym adresem IP w zasięgu zainfekowanego serwera MS-SQL. Ponadto, aby lepiej maskować swoje działania, Maggie jest wyposażona w funkcjonalność proxy SOCKS5 i może kierować wszystkie nietypowe pakiety sieciowe przez wybrany serwer proxy.