Maggie Malware

Infosec の研究者は、世界中に広がる何百もの Microsoft SQL サーバーにすでに感染している新しいマルウェアについて警告しています。この脅威は Maggie として追跡されており、広範な侵入機能セットが装備されています。 Maggie マルウェアの被害者は、主にインド、韓国、中国、ロシア、ベトナム、タイ、米国、ドイツに住んでいます。マルウェアに関する詳細は、最近のセキュリティ研究者によるレポートで公開されました。

感染したシステムに展開されると、Maggie マルウェアは「sqlmaggieAntiVirus_64.dll」という名前の拡張ストアド プロシージャ DLL に変装し、DEEPSoft Co. Ltd という会社によってデジタル署名されます。これらのファイルは、次の方法で SQL クエリの機能を拡張できます。リモート ユーザー引数を受け入れる API。この機能により、Maggie はデバイスへのバックドア アクセスを確立し、50 を超えるコマンドを実行できます。

攻撃者は、特定の目標に基づいて、システム情報の収集、プログラムの実行、ファイル システムの管理、リモート デスクトップ サービスの開始などを Maggie に指示できます。特定されたコマンドには、4 つの「エクスプロイト」コマンドも含まれています。これは、サイバー犯罪者が侵害されたシステムで特定のアクションを実行するために、既知の脆弱性を悪用していることを示している可能性があります。

Maggie マルウェアは、感染した MS-SQL サーバーの範囲内にある任意の IP アドレスに接続する機能をハッカーに提供することもできます。さらに、その活動をより適切に隠すために、Maggie には SOCKS5 プロキシ機能が装備されており、選択したプロキシ サーバーを介してすべての異常なネットワーク パケットをルーティングできます。