Maggie è la nuova backdoor che prende di mira server Microsoft SQL
La nuova backdoor permette di interagire con file, avviare programmi e dirottare le comunicazioni: ancora non si sa chi sia l'attore di minaccia
di Andrea Bai pubblicata il 06 Ottobre 2022, alle 13:01 nel canale SicurezzaI ricercatori di sicurezza di DCSO CyTec hanno individuato una nuova backdoor, battezzata Maggie, che prende di mira i server Microsoft SQL e ha già compromesso centinaia di macchine in tutto il mondo, in particolare in Corea del Sud, India, Vietnam, Cina, Russia, Thailandia, Germania e USA.
L'analisi della backdoor ha dato modo di sapere che si maschera da DLL Extended Stored Procedure, firmata digitalmente da DEEPSoft Co. Ltd, società che pare essere registrata in Corea del Sud. Maggie è controllata sfruttando query SQL che la istruiscono per eseguire comandi e interagire con i file e le sue capacità consentono di effettuare tentativi brute-force per l'accesso a profili di amministrazione ad altri server Microsoft SQL e il raddoppio come testa di ponte nella rete in cui si trova il server.
La possibilità di mascherarsi da DLL ESP estende la funzionalità della query SQL utilizzando un'API che può accettare argomenti da utenti remoti e risponde con dati non strutturati. Maggie fa uso in particolare di questo meccanismo per consentire l'accesso remoto con un set di ben 51 comandi, che permettono tra le altre cose di eseguire query per recuperare informazioni di sistema, avviare programmi, interagire con file e cartelle, abilitare servizi di desktop remoto, eseguire proxy SOCKS5 e impostare il port forwarding.
Tra i comandi ve ne sono anche quattro di "Exploit" che l'aggressore potrebbe utilizzare per sfruttare vulnerabilità note per compiere determinate azioni. I ricercatori però non hanno potuto testare questi quattro comandi poiché essi sembrano dipendere da una DLL che non viene fornita con Maggie.
Al di là dei dettagli tecnici che i ricercatori sono riusciti a scoprire, mancano ancora alcune informazioni chiave. Ad esempio è ancora sconosciuto l'uso effettivo post-infezione di Maggie, così come non è noto in che modo la backdoor venga installata nei server. E, da ultimo ma non per importanza, non è ancora possibile sapere chi sia la mano dietro a questi attacchi.
Recensione Amazon Luna: ecco come funziona il nuovo servizio di cloud gaming 
Le fabbriche Intel in Malesia: come assembly e packaging trasformano un wafer in un chip
Recensione Call of Duty Modern Warfare III: il gioco che dovrebbe essere un DLC
La protostella Herbig-Haro 797 in Perseo: l'immagine del telescopio spaziale James Webb
AWS re:Invent: annunciate le nuove istanze EC2 basate su CPU Graviton4 e Amazon S3 Express One Zone 
Polestar apre il secondo Space italiano a Roma, Polestar 3 protagonista all'inaugurazione
Non solo Cina, anche l'India sta entrando nel mercato USA del moduli solari 
Starfield: Bethesda ha iniziato a rispondere alle recensioni negative su Steam
Fallout, la serie TV: i protagonisti nelle ultime immagini, nuovi dettagli sulla storia
Ma quanto inquinano i SUV? Una ricerca illustra quanto questi veicoli impattano sulle emissioni globali legate alla mobilità 
VAST Data arriva in Italia: ne parliamo col CEO Renen Hallak
Recensione Samsung SSD Portatile T9: robusto fuori e veloce dentro
Gerry Scotti incoronato Re dei meme agli ultimi "Meme Awards"
AWS re:Invent 2023: annunciati tre nuovi servizi serverless
BERLINO: ecco il nuovo trailer dello spin-off della Casa di carta targata Netflix 
Google Drive, alcuni utenti hanno perso i file degli ultimi mesi. La società indaga
Cosa rappresenta l'Audio Spaziale oggi? Pinaxa e Emma lo spiegano all'Apple Store Liberty
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".