El malware Maggie ya infectó más de 250 servidores Microsoft SQLAsuntos de seguridad

El malware Maggie ya infectó más de 250 servidores Microsoft SQLAsuntos de seguridad
El malware Maggie ya infectó más de 250 servidores Microsoft SQLAsuntos de seguridad

Cientos de servidores Microsoft SQL en todo el mundo han sido infectados con una nueva pieza de malware rastreada como Maggie.

Los investigadores de seguridad Johann Aydinbas y Axel Wauer de DCSO CyTec han detectado una nueva pieza de malware, llamada Maggie, que ya ha infectado a más de 250 servidores Microsoft SQL en todo el mundo.

La mayoría de los casos infectados se encuentran en Corea del Sur, India, Vietnam, China, Rusia, Tailandia, Alemania y Estados Unidos.

El malware se presenta en forma de “Procedimiento almacenado extendido”, que son procedimientos almacenados que llaman a funciones desde archivos DLL. Al cargar en un servidor, un atacante puede controlarlo mediante consultas SQL y ofrece una variedad de funciones para ejecutar comandos e interactuar con archivos.

La puerta trasera también puede realizar inicios de sesión de fuerza bruta en otros servidores MSSQL para agregar una puerta trasera codificada especial.

“Además, la puerta trasera tiene capacidades para iniciar sesión por fuerza bruta en otros servidores MSSQL al tiempo que agrega un usuario especial de puerta trasera codificado en el caso de que la fuerza bruta inicie sesión con éxito como administrador. Con base en este hallazgo, identificamos más de 250 servidores afectados en todo el mundo, con un claro enfoque en la región de Asia-Pacífico”. lee el análisis publicado por los investigadores. “Una vez que un atacante lo carga en un servidor, se controla únicamente mediante consultas SQL y ofrece una variedad de funcionalidades para ejecutar comandos, interactuar con archivos y funcionar como un puente de red hacia el entorno del servidor infectado”.

Mientras investigaban nuevas amenazas, los expertos descubrieron un archivo sospechoso, el archivo DLL fue firmado por DEEPSoft Co., Ltd. el 2022–04–12. El directorio de exportación reveló el nombre de la biblioteca, sqlmaggieAntiVirus_64.dll, que ofrece una sola exportación llamada maggie.

Al inspeccionar el archivo DLL, los expertos descubrieron que es un procedimiento almacenado extendido, que permite que las consultas SQL ejecuten comandos de shell.

El malware Maggie admite más de 51 comandos para recopilar información del sistema y ejecutar programas, también puede admitir funcionalidades relacionadas con la red, como habilitar TermService, ejecutar un servidor proxy Socks5 o configurar el reenvío de puertos para hacer Maggie actuar como cabeza de puente en el entorno de red del servidor.

Maggie también admite los comandos que pasan los atacantes junto con los argumentos que se les agregan.

Maggie implementa una redirección TCP simple que le permite operar como un puente de red desde Internet a cualquier dirección IP accesible por el servidor MSSQL comprometido.

“Cuando está habilitado, Maggie redirige cualquier conexión entrante (en cualquier puerto en el que esté escuchando el servidor MSSQL) a una IP y un puerto previamente establecidos, si la dirección IP de origen coincide con una máscara de IP especificada por el usuario. La implementación permite la reutilización de puertos, lo que hace que la redirección sea transparente para los usuarios autorizados, mientras que cualquier otra IP de conexión puede usar el servidor sin ninguna interferencia o conocimiento de Maggie”. continúa el análisis.

Los expertos notaron que la lista de comandos admitidos incluye Exploit AddUser, Exploit Run, Exploit Clone y Exploit TS. Los investigadores notaron que la DLL utilizada para implementar los comandos anteriores no está presente en la implementación real de los comandos.

Los investigadores asumen que la persona que llama carga manualmente la DLL del exploit antes de emitir cualquier exploit. comandos

“Maggie luego cargaría la DLL especificada por el usuario, buscaría una exportación llamada StartPrinter o ProcessCommand (según el comando exacto utilizado) y pasaría el argumento proporcionado por el usuario”. continúa el análisis.

Los investigadores compartieron indicadores de compromiso (IoC) para esta amenaza y anunciaron que continuarán investigándola para determinar cómo se utilizan los servidores afectados.

Sigueme en Twitter: @asuntosdeseguridad y Facebook

Pierluigi Paganini

(SeguridadAsuntos piratería informática, Microsoft SQL Server)


Compartir en


The article is in English

Tags: malware Maggie infectó más servidores Microsoft SQLAsuntos seguridad

.

PREV Conexión de dispositivos cuánticos con sonido
NEXT Ixana recauda $ 3 millones con el objetivo de hacer posible la realidad aumentada portátil durante todo el día