Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Мэгги заползает в серверы Microsoft SQL

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 01-24-2025, 12:04 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Новый бэкдор позволяет включить «режим Бога» на сервере.

Исследователи безопасности обнаружили новое вредоносное ПО, нацеленное на серверы Microsoft SQL. Бэкдор Maggie уже заразил сотни компьютеров по всему миру.
Maggie управляется с помощью SQL-запросов. Его возможности включают в себя взлом входа администратора на другие серверы Microsoft SQL и дублирование в качестве моста в сетевую среду сервера.
Бэкдор был обнаружен аналитиками из DCSO CyTec . Данные телеметрии показывают, что Maggie более распространен в Южной Корее, Индии, Вьетнаме, Китае, России, Таиланде, Германии и США.

Карта заражений Maggie
Анализ вредоносного ПО показал, что Maggie маскируется под DLL-библиотеку расширенной хранимой процедуры (Extended Stored Procedure DLL) с цифровой подписью компании DEEPSoft Co. Ltd, которая базируется в Южной Корее.
Файлы расширенных хранимых процедур расширяют функциональные возможности SQL-запросов за счет использования API, который принимает аргументы удаленного пользователя и отвечает неструктурированными данными. Это позволяет обеспечить удаленный доступ к бэкдору с помощью набора из 51 команды.
Команды позволяют Maggie выполнять различные действия, в том числе:
  • запрашивать системную информацию;

  • запускать программы;

  • взаимодействовать с файлами и папками;

  • включать службы удаленного рабочего стола (TermService);

  • запускать прокси-сервер SOCKS5 для маршрутизации всех сетевых пакетов, что делает бэкдор незаметным

  • настраивать переадресацию портов;

  • подбирать пароль администратора;

  • добавлять жестко закодированную учетную запись оператора бэкдора.

Также 4 команды «Exploit» позволяют киберпреступнику эксплуатировать известные уязвимости для определенных целей, например, добавить нового пользователя.
Вредоносная программа также предлагает функцию перенаправления TCP, которая позволяет удаленному злоумышленнику подключаться к любому IP-адресу, доступному зараженному серверу MS-SQL. Если эта функция включена, Maggie перенаправляет любое входящее соединение на установленный IP-адрес и порт.
В настоящее время некоторые детали остаются неизвестными, например, кто стоит за атаками, как используется Maggie после заражения и как он внедряется на серверы.
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 06:21 PM.

Contact Us - Carder.life - Archive - Top