Hay un nuevo malware que está circulando, que se dirige a los servidores de Microsoft SQL y es capaz de ejecutar programas, husmear en los datos, abrirse paso a través de la fuerza bruta en otros servidores SQL y docenas de otras cosas peligrosas.
el malware (se abre en una pestaña nueva), descubierta por analistas de ciberseguridad de DSCO CyTec, fue apodada Maggie. Maggie se distribuye haciéndose pasar por una DLL de procedimiento almacenado extendido, un archivo firmado digitalmente por una supuesta empresa surcoreana llamada DEEPSoft.
Por lo general, los archivos de procedimientos almacenados extendidos amplían las funcionalidades de consulta SQL a través de una API que acepta acuerdos de usuarios remotos y funciona con datos no estructurados. En el caso de Maggie, se abusa de esta funcionalidad para permitir a los actores de amenazas un total de 51 comandos diferentes, algunos de los cuales ya mencionamos.
Países asiáticos objetivo
Maggie se controla a través de consultas SQL, que le indican qué comandos ejecutar y qué archivos usar.
Según los investigadores, el malware ya infectó cientos de terminales en todo el mundo, la mayoría de los cuales se encuentran en Corea del Sur, India, Vietnam, China, Rusia, Tailandia, Alemania y Estados Unidos.
Conociendo el hecho de que Maggie ataca a los servidores de Microsoft SQL y que tiene una extensa lista de funciones, es seguro asumir que se creó como una herramienta de espionaje corporativo. Sin embargo, los investigadores no pudieron determinar quiénes son los actores de amenazas detrás de Maggie, desde dónde operan, a quién se dirigen, cómo lograron aterrizar el malware en estos servidores. (se abre en una pestaña nueva)y con qué objetivo.
“Para instalar Maggie, un atacante debe poder colocar un archivo ESP en un directorio accesible por el servidor MSSQL y debe tener credenciales válidas para cargar Maggie ESP en el servidor”, explicaron los investigadores. “No está claro cómo se realiza un ataque real con Maggie en el mundo real”.
La lista completa de los comandos identificados hasta ahora se puede encontrar en este Enlace (se abre en una pestaña nueva).
Vía: BleepingComputer (se abre en una pestaña nueva)