Microsoft SQL sunucularını hedef alan ve programları çalıştırabilen, verilere göz atabilen, diğer SQL sunucularına kaba kuvvet uygulayabilen ve düzinelerce başka tehlikeli şey yapabilen yeni bir kötü amaçlı yazılım var.
kötü amaçlı yazılım (yeni sekmede açılır)DSCO CyTec’ten siber güvenlik analistleri tarafından keşfedilen , Maggie olarak adlandırıldı. Maggie, DEEPSoft adlı Güney Koreli bir şirket tarafından dijital olarak imzalanmış bir dosya olan Genişletilmiş Saklı Yordam DLL’si gibi davranılarak dağıtılır.
Genellikle, Genişletilmiş Saklı Yordam dosyaları, uzak kullanıcı sözleşmelerini kabul eden ve yapılandırılmamış verilerle çalışan bir API aracılığıyla SQL sorgu işlevlerini genişletir. Maggie’nin durumunda, bu işlevsellik, tehdit aktörlerine, bazılarından daha önce bahsettiğimiz toplam 51 farklı komuta izin vermek için kötüye kullanılıyor.
Asya ülkeleri hedef alındı
Maggie’nin kendisi, hangi komutların yürütüleceğini ve hangi dosyaların kullanılacağını söyleyen SQL sorguları aracılığıyla kontrol edilir.
Araştırmacılara göre, kötü amaçlı yazılım, çoğu Güney Kore, Hindistan, Vietnam, Çin, Rusya, Tayland, Almanya ve Amerika Birleşik Devletleri’nde bulunan tüm dünyada yüzlerce uç noktaya bulaştı.
Maggie’nin Microsoft SQL sunucularına saldırdığı ve kapsamlı bir özellik listesine sahip olduğu gerçeğini bilerek, kurumsal bir casusluk aracı olarak oluşturulduğunu varsaymak güvenlidir. Ancak araştırmacılar, Maggie’nin arkasındaki tehdit aktörlerinin kim olduğunu, nereden çalıştıklarını, kimi hedeflediklerini, kötü amaçlı yazılımı bu sunuculara indirmeyi nasıl başardıklarını belirleyemediler. (yeni sekmede açılır)ve hangi amaç için.
Araştırmacılar, “Maggie’yi kurmak için, bir saldırganın MSSQL sunucusu tarafından erişilebilen bir dizine bir ESP dosyası yerleştirebilmesi ve Maggie ESP’yi sunucuya yüklemek için geçerli kimlik bilgilerine sahip olması gerekir” dedi. “Gerçek dünyada Maggie ile gerçek bir saldırının nasıl gerçekleştirildiği belli değil.”
Şimdiye kadar tanımlanmış komutların tam listesi bu sayfada bulunabilir. bağlantı (yeni sekmede açılır).
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)