เซิร์ฟเวอร์ Microsoft SQL หลายร้อยแห่งทั่วโลกติด Malware ใหม่ โดยผู้เชี่ยวชาญด้านความปลอดภัย Johann Aydinbas และ Axel Wauer จาก DCSO CyTec ได้พบ Malware ตัวใหม่ที่ใช้ชื่อ Maggie ซึ่งได้พบว่ามีเซิร์ฟเวอร์ Microsoft SQL ติด Malware นี้ไปแล้วกว่า 250 เซิร์ฟเวอร์ทั่วโลก ซึ่งส่วนใหญ่อยู่ในเกาหลีใต้ อินเดีย เวียดนาม จีนรัสเซีย ไทย เยอรมนี และสหรัฐอเมริกา
.png)
โดย Malware นี้จะมาในรูปแบบของ “Extended Stored Procedure” ซึ่งเป็นขั้นตอนการจัดเก็บที่เรียกใช้ฟังก์ชันจากไฟล์ DLL(“ sqlmaggieAntiVirus_64.dll ”) เมื่อโหลดเข้าสู่เซิร์ฟเวอร์ ผู้โจมตีจะสามารถควบคุมได้โดยใช้คำสั่ง SQL และมีฟังก์ชันการทำงานที่หลากหลายเพื่อเรียกใช้คำสั่งและโต้ตอบกับไฟล์ และ Backdoor ยังสามารถบังคับให้ล็อกอินเข้าสู่เซิร์ฟเวอร์ MSSQL อื่น ๆ เพื่อเพิ่ม Backdoor ฮาร์ดโค้ดพิเศษ
นอกจากนี้ Backdoor ยังมีความสามารถในการบังคับให้เข้าสู่ระบบเซิร์ฟเวอร์ MS SQL อื่น ๆ ในขณะที่เพิ่มผู้ใช้Backdoor แบบฮาร์ดโค้ดพิเศษในกรณีที่การเข้าสู่ระบบ ของผู้ดูแลระบบที่ bruteforce ได้สำเร็จ จากการค้นพบนี้ ระบุเซิร์ฟเวอร์กว่า 250เซิร์ฟเวอร์ ที่ได้รับผลกระทบทั่วโลก โดยเน้นที่ภูมิภาคเอเชียแปซิฟิกอย่างชัดเจน และ Maggie Malware รองรับคำสั่งได้มากกว่า 51 คำสั่ง
เพื่อรวบรวมข้อมูลระบบและเรียกใช้โปรแกรม นอกจากนี้ยังสามารถรองรับฟังก์ชันที่เกี่ยวข้องกับเครือข่าย เช่น การเปิดใช้งาน TermService การเรียกใช้พร็อกซีเซิร์ฟเวอร์ Socks5
หรือการตั้งค่าการส่งต่อพอร์ตเพื่อให้ Maggie ทำหน้าที่เป็นบริดจ์เฮดในเซิร์ฟเวอร์สภาพแวดล้อมเครือข่าย ทั้งนี้ ในขณะนี้ยังคงไม่ทราบรายละเอียดหลังจากที่ถูกโจมตีด้วย Maggie แล้วจะส่งผลอย่างไร การฝัง Malware ในเซิร์ฟเวอร์ และใครอยู่เบื้องหลังการโจมตีเหล่านี้
Ref : bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น