Новый опасный штамм вредоносного ПО уже скомпрометировал сотни серверов

Новый опасный штамм вредоносного ПО уже скомпрометировал сотни серверов

6 октября 2022 г.

Появилось новое вредоносное ПО, нацеленное на серверы Microsoft SQL и способное запускать программы, отслеживать данные, проникать на другие SQL-серверы методом грубой силы и выполнять десятки других опасных действий.

вредоносное ПО, обнаруженное аналитиками по кибербезопасности из DSCO CyTec , была названа Мэгги. Maggie распространяется, притворяясь DLL-файлом с расширенной хранимой процедурой, файлом с цифровой подписью предполагаемой южнокорейской компании DEEPSoft.

Обычно файлы расширенных хранимых процедур расширяют функциональные возможности SQL-запросов через API, который принимает соглашения с удаленными пользователями и работает с неструктурированными данными. В случае с Мэгги эта функция используется не по назначению, позволяя злоумышленникам использовать в общей сложности 51 команду, некоторые из которых мы уже упоминали.

Таргетинг на азиатские страны

Сама Maggie управляется с помощью SQL-запросов, которые сообщают ей, какие команды выполнять и какие файлы использовать.

По данным исследователей, вредоносное ПО уже заразило сотни конечных точек по всему миру, большинство из которых расположены в Южной Корее, Индии, Вьетнаме, Китае, России, Таиланде, Германии и США.

Подробнее

> Серверы Microsoft SQL пострадали от атак Cobalt Strike
> Microsoft отказывается от поддержки SQL Server в контейнерах Windows

> Вот наш краткий обзор лучших брандмауэров там

Зная тот факт, что Maggie атакует серверы Microsoft SQL и имеет обширный список функций, можно с уверенностью предположить, что он был создан как инструмент корпоративного шпионажа. Однако исследователи не смогли определить, кто стоит за Мэгги, откуда они действуют, на кого нацелены и как им удалось разместить вредоносное ПО на этих серверы и с какой целью.

«Чтобы установить Maggie, злоумышленник должен иметь возможность поместить файл ESP в каталог, доступный для сервера MSSQL, и должен иметь действительные учетные данные для загрузки Maggie ESP на сервер», — пояснили исследователи. «Непонятно, как реальная атака с помощью Мэгги выполняется в реальном мире».

Полный список идентифицированных команд можно найти на этом ссылка.

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE