Si sta diffondendo un nuovo malware che prende di mira i server Microsoft SQL ed è in grado di eseguire programmi, spiare i dati, forzare brutalmente l’accesso ad altri server SQL e decine di altre cose pericolose. Il malware (si apre in una nuova scheda), scoperto dagli analisti di cybersicurezza di DSCO CyTec, è stato battezzato Maggie. Maggie viene distribuito fingendo di essere una Extended Stored Procedure DLL, un file firmato digitalmente da una presunta azienda sudcoreana chiamata DEEPSoft. Di solito, i file Extended Stored Procedure estendono le funzionalità delle query SQL tramite un’API che accetta accordi con utenti remoti e lavora con dati non strutturati. Nel caso di Maggie, questa funzionalità viene abusata per consentire agli attori delle minacce un totale di 51 comandi diversi, alcuni dei quali già menzionati.
Paesi asiatici presi di mira
Maggie stesso è controllato attraverso query SQL, che gli indicano quali comandi eseguire e quali file utilizzare. Secondo i ricercatori, il malware ha già infettato centinaia di endpoint in tutto il mondo, la maggior parte dei quali si trova in Corea del Sud, India, Vietnam, Cina, Russia, Thailandia, Germania e Stati Uniti. Sapendo che Maggie attacca i server Microsoft SQL e che dispone di un ampio elenco di funzionalità, è lecito supporre che sia stato creato come strumento di spionaggio aziendale. Tuttavia, i ricercatori non sono stati in grado di determinare chi siano gli attori delle minacce dietro Maggie, da dove operino, chi stiano prendendo di mira, come siano riusciti a far atterrare il malware su questi server (si apre una nuova scheda) e con quale obiettivo. “Per installare Maggie, un aggressore deve essere in grado di inserire un file ESP in una directory accessibile dal server MSSQL e deve disporre di credenziali valide per caricare l’ESP di Maggie nel server”, spiegano i ricercatori. “Non è chiaro come venga eseguito un vero attacco con Maggie nel mondo reale”. L’elenco completo dei comandi finora individuati è disponibile a questo link
