有一种新的恶意软件正在流行,它以 Microsoft SQL 服务器为目标,能够运行程序、窥探数据、暴力破解进入其他 SQL 服务器以及许多其他危险的事情。
恶意软件(在新标签中打开)由 DSCO CyTec 的 络安全分析师发现,被称为 Maggie。Maggie 通过伪装成扩展存储过程 DLL 进行分发,该文件由一家名为 DEEPSoft 的韩国公司进行数字签名。
通常,扩展存储过程文件通过接受远程用户协议并处理非结构化数据的 API 扩展 SQL 查询功能。在 Maggie 的案例中,此功能被滥用以允许威胁参与者执行总共 51 个不同的命令,其中一些我们已经提到过。
目标亚洲国家
Maggie 本身是通过 SQL 查询来控制的,这些查询告诉它要执行哪些命令,以及要使用哪些文件。
据研究人员称,该恶意软件已经感染了全球数百个端点,其中大部分位于韩国、印度、越南、中国、俄罗斯、泰国、德国和美国。
知道 Maggie 攻击 Microsoft SQL 服务器并且它具有广泛的功能列表这一事实,可以安全地假设它是作为企业间谍工具构建的。然而,研究人员无法确定 Maggie 背后的威胁参与者是谁、他们从哪里操作、他们的目标是谁、他们如何成功地将恶意软件登陆这些服务器(在新标签中打开),以及达到什么目标。
研究人员解释说:“为了安装 Maggie,攻击者必须能够将 ESP 文件放置在 MSSQL 服务器可访问的目录中,并且必须拥有有效的凭据才能将 Maggie ESP 加载到服务器中。” “目前尚不清楚如何在现实世界中对 Maggie 进行实际攻击。”
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!