Maggie Malware
Infosec 研究人員警告說,一種新的惡意軟件已經成功感染了遍布全球的數百台 Microsoft SQL 服務器。該威脅被追踪為 Maggie,並配備了一系列廣泛的侵入性功能。 Maggie 惡意軟件的受害者主要分佈在印度、韓國、中國、俄羅斯、越南、泰國、美國和德國。安全研究人員最近在一份報告中向公眾披露了有關該惡意軟件的詳細信息。
當部署在受感染的系統上時,Maggie 惡意軟件會將自己偽裝成一個名為“sqlmaggieAntiVirus_64.dll”的擴展存儲過程 DLL,該 DLL 將由一家名為 DEEPSoft Co. Ltd. 的公司進行數字簽名。這些文件可以通過以下方式擴展 SQL 查詢的功能API 接受遠程用戶參數。通過此功能,Maggie 可以建立對設備的後門訪問並執行 50 多個命令。
根據他們的具體目標,攻擊者可以指示 Maggie 獲取系統信息、執行程序、管理文件系統、啟動遠程桌面服務等等。已識別的命令還包括四個“利用”命令,這可能表明網絡犯罪分子正在利用已知漏洞對被破壞的系統進行某些操作。
Maggie 惡意軟件還可以使黑客能夠連接到受感染的 MS-SQL 服務器範圍內的任何 IP 地址。此外,為了更好地掩蓋其活動,Maggie 配備了 SOCKS5 代理功能,可以通過選定的代理服務器路由所有異常網絡數據包。
