Maggie Malware
Infosec 研究人员警告说,一种新的恶意软件已经成功感染了遍布全球的数百台 Microsoft SQL 服务器。该威胁被追踪为 Maggie,并配备了一系列广泛的侵入性功能。 Maggie 恶意软件的受害者主要分布在印度、韩国、中国、俄罗斯、越南、泰国、美国和德国。安全研究人员最近在一份报告中向公众披露了有关该恶意软件的详细信息。
当部署在受感染的系统上时,Maggie 恶意软件会将自己伪装成一个名为“sqlmaggieAntiVirus_64.dll”的扩展存储过程 DLL,该 DLL 将由一家名为 DEEPSoft Co. Ltd. 的公司进行数字签名。这些文件可以通过以下方式扩展 SQL 查询的功能API 接受远程用户参数。通过此功能,Maggie 可以建立对设备的后门访问并执行 50 多个命令。
根据他们的具体目标,攻击者可以指示 Maggie 获取系统信息、执行程序、管理文件系统、启动远程桌面服务等等。已识别的命令还包括四个“利用”命令,这可能表明网络犯罪分子正在利用已知漏洞对被破坏的系统进行某些操作。
Maggie 恶意软件还可以使黑客能够连接到受感染的 MS-SQL 服务器范围内的任何 IP 地址。此外,为了更好地掩盖其活动,Maggie 配备了 SOCKS5 代理功能,可以通过选定的代理服务器路由所有异常网络数据包。
