새로운 백도어 Maggie 등장, 국내 MS-SQL 서버 위험
독일 사이버 보안업체 DCSO CyTec팀은
새로운 Maggie 백도어가 이미 아시아를 중점으로
42개국 285개의 Microsoft SQL 서버를 감염시켰다고 발표했습니다.
한국, 인도, 베트남이 상위 3위를 차지했습니다.
Maggie 악성코드는 국내 DEEPSoft Co. Ltd의 디지털 서명을 탑재해
*확장 저장 프로시저(sqlmaggieAntiVirus_64.dll) 형태로 유포되고 있습니다.
*확장 저장 프로시저: MS-SQL 서버에서 SQL 쿼리가 셸 명령을 실행하도록 합니다
ESP DLL 파일로 공격자는
SQL 쿼리를 이용해 서버를 제어하고 명령할 수 있습니다.
또한, 다른 MSSQL 서버를 대상으로 *Bruteforce를 통해
관리자 로그인에 성공하면 하드코딩된 백도어 사용자를 추가합니다.
*Bruteforce: 모든 문자열을 하나씩 대입해 암호를 해독하는 방법
보고서에 따르면 Maggie 악성코드가 지원하는 51개의 명령을 통해
시스템 정보 쿼리, 프로그램 실행, 파일 및 폴더 상호 작용,
원격 데스크톱 서비스(TermService) 활성화,
SOCKS5 프록시 실행, 포트 포워딩 설정이 가능합니다.
DCSO CyTec은 Maggie 공격 캠페인에 대한 침해 지표(IoC)를 공유하고
영향을 받는 서버가 어떻게 활용되고 있는지 확인하기 위해
계속 조사할 것이라고 발표했습니다.
MIR News
[ MS SQL Maggie Backdoor 편 ]
[ 출처 ]
https://medium.com/@DCSO_CyTec/mssql-meet-maggie-898773df3b01
https://medium.com/@DCSO_CyTec/tracking-down-maggie-4d889872513d
감사합니다.
제작 : MIR Team
문의 : mss_analysis@cyberone.kr
블로그 : https://mir.team
페이스북 : https://www.facebook.com/mirteamofficial
Lenovo 노트북 25종, 보안 부팅 우회하는 취약점 발견 (0) | 2022.11.15 |
---|---|
윈도우 제로데이 MOTW 취약점, 매그니베르 랜섬웨어 감염까지 (0) | 2022.10.31 |
나도 모르는 사이 빅테크 기업으로 전송되고 있는 개인 정보? Spell-Jacking 주의 (0) | 2022.09.29 |
안전한 추석을 위한 "추석 명절 정보 보안 수칙" (0) | 2022.09.01 |
8년 된 Linux Kernel 취약점, DirtyCred (0) | 2022.08.30 |
댓글 영역