Maggie è la nuova backdoor che prende di mira server Microsoft SQL

Maggie è la nuova backdoor che prende di mira server Microsoft SQL

La nuova backdoor permette di interagire con file, avviare programmi e dirottare le comunicazioni: ancora non si sa chi sia l'attore di minaccia

di pubblicata il , alle 13:01 nel canale Sicurezza
 

I ricercatori di sicurezza di DCSO CyTec hanno individuato una nuova backdoor, battezzata Maggie, che prende di mira i server Microsoft SQL e ha già compromesso centinaia di macchine in tutto il mondo, in particolare in Corea del Sud, India, Vietnam, Cina, Russia, Thailandia, Germania e USA.

L'analisi della backdoor ha dato modo di sapere che si maschera da DLL Extended Stored Procedure, firmata digitalmente da DEEPSoft Co. Ltd, società che pare essere registrata in Corea del Sud. Maggie è controllata sfruttando query SQL che la istruiscono per eseguire comandi e interagire con i file e le sue capacità consentono di effettuare tentativi brute-force per l'accesso a profili di amministrazione ad altri server Microsoft SQL e il raddoppio come testa di ponte nella rete in cui si trova il server.

La possibilità di mascherarsi da DLL ESP estende la funzionalità della query SQL utilizzando un'API che può accettare argomenti da utenti remoti e risponde con dati non strutturati. Maggie fa uso in particolare di questo meccanismo per consentire l'accesso remoto con un set di ben 51 comandi, che permettono tra le altre cose di eseguire query per recuperare informazioni di sistema, avviare programmi, interagire con file e cartelle, abilitare servizi di desktop remoto, eseguire proxy SOCKS5 e impostare il port forwarding.

Tra i comandi ve ne sono anche quattro di "Exploit" che l'aggressore potrebbe utilizzare per sfruttare vulnerabilità note per compiere determinate azioni. I ricercatori però non hanno potuto testare questi quattro comandi poiché essi sembrano dipendere da una DLL che non viene fornita con Maggie.

Al di là dei dettagli tecnici che i ricercatori sono riusciti a scoprire, mancano ancora alcune informazioni chiave. Ad esempio è ancora sconosciuto l'uso effettivo post-infezione di Maggie, così come non è noto in che modo la backdoor venga installata nei server. E, da ultimo ma non per importanza, non è ancora possibile sapere chi sia la mano dietro a questi attacchi.

I migliori sconti su Amazon oggi

origimagic C4 Mini PC,con Ryzen 5 3550H Processor(fino a 3,7GHz) Light Gaming PC,16GB RAM,512GB SSD,Supporto Triple Display,USB3.2/Doppia Ethernet/Wi-Fi5/BT 5.0,Mini Desktop per Ufficio Domestico

219.00 Compra ora

TCL 55V6C TV 55'' 4K UHD Smart LED TV, 4K HDR, Google TV con design senza bordi (Dolby Audio, Motion Clarity, compatibile con Google Assistant e Alexa)

299.00 Compra ora
-27%

FRITZ!Repeater 1200 AX Edition International, Ripetitore - Wi-Fi 6 extender Dual Band con 2.400 Mbit/s (5 GHz) & 600 Mbit/s (2,4 GHz), Mesh, Access Point, 1x Gigabit LAN, Interfaccia in italiano

95.99 69.99 Compra ora
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^