C’è un nuovo malware che sta facendo il giro, progettato per attaccare i server Microsoft SQL. Questo malware è in grado di eseguire programmi, spiare dati, infiltrarsi in altri server SQL e compiere centinaia di altre azioni potenzialmente dannose.
Maggie è il nome dato al software dannoso identificato dagli specialisti della sicurezza informatica che lavorano per DSCO CyTec. Il malware noto come Maggie viene propagato ingannando gli utenti facendogli credere che si tratti di una DLL di stored procedure estesa. Questa DLL è un file che è stato firmato digitalmente da una presunta azienda sudcoreana nota come DEEPSoft.
In genere, i file di stored procedure estese espandono le funzioni di query SQL per mezzo di un’interfaccia di programmazione dell’applicazione (API) compatibile con i dati non strutturati e che accetta accordi utente remoti. Nel caso di Maggie, questa funzione viene utilizzata in modo improprio in un modo che consente agli attori delle minacce di eseguire un totale di 51 istruzioni univoche, alcune delle quali abbiamo già evidenziato.
Le query SQL vengono utilizzate per fornire istruzioni a Maggie su quali comandi eseguire ea quali file accedere. Secondo i risultati dei ricercatori, il software dannoso ha già infettato centinaia di endpoint in tutto il mondo, la maggior parte dei quali si trova nei seguenti paesi: Corea del Sud, India, Vietnam, Cina, Russia, Thailandia, Germania e gli Stati Uniti.
È ragionevole ritenere che Maggie sia stato sviluppato come strumento per lo spionaggio aziendale, dato che prende di mira i server Microsoft SQL e che è dotato di un set completo di funzioni. Tuttavia, i ricercatori non sono stati in grado di scoprire chi sono gli attori delle minacce dietro Maggie, da dove operano, chi prendono di mira, come sono riusciti a far atterrare il malware su questi sistemi o verso quale obiettivo stavano lavorando.
Secondo la spiegazione fornita dai ricercatori, “perché un utente malintenzionato possa installare Maggie, deve essere in grado di archiviare un file ESP in una directory accessibile dal server MSSQL e deve disporre di credenziali valide per poter caricare il Maggie ESP nel server.” Non è del tutto ovvio come sarebbe stato compiuto un vero assalto con Maggie nel mondo reale.