Maggie Backdoor IOCs

security IOC

Продолжая наш мониторинг подписанных двоичных файлов, DCSO CyTec недавно обнаружил новую вредоносную программу с бэкдором, нацеленную на серверы Microsoft SQL.

Вредоносная программа поставляется в виде DLL "Extended Stored Procedure", специального типа расширения, используемого серверами Microsoft SQL. Будучи загруженной злоумышленником на сервер, она управляется исключительно с помощью SQL-запросов и предлагает разнообразные функциональные возможности для выполнения команд, взаимодействия с файлами и функционирования в качестве сетевого моста в окружение зараженного сервера.

Кроме того, бэкдор имеет возможность перебора логинов на других серверах MSSQL, добавляя специального жестко закодированного пользователя бэкдора в случае успешного перебора логинов администратора. На основании этих данных мы выявили более 250 серверов, пострадавших по всему миру, с явным акцентом на Азиатско-Тихоокеанский регион.

Основываясь на артефактах, найденных во вредоносной программе, DCSO CyTec называет эту новую угрозу "Maggie".

Indicators of Compromise

URLs

  • http://58.180.56.28/sql64.dll
  • http://106.251.252.83/sql64.dll
  • http://58.180.56.28/vv61599.exe
  • http://183.111.148.147/sql64.dll
  • http://xw.xxuz.com/VV61599.exe

SHA256

  • 4311c24670172957b4b0fb7ca9898451878faeb5dcec75f7920f1f7ad339d958
  • 854bb57bbd22b64679b3574724fafd7f9de23f5f71365b1dd8757286cec87430
  • a375ae44c8ecb158895356d1519fe374dc99c4c6b13f826529c71fb1d47095c3
  • d0bc30c940b525e7307eca0df85f1d97060ccd4df5761c952811673bc21bc794
  • eb7b33b436d034b2992c4f40082ba48c744d546daa3b49be8564f2c509bd80e9
  • f29a311d62c54bbb01f675db9864f4ab0b3483e6cfdd15a745d4943029dcdf14

User-Agents

  • Mozilla/4.0 (compatible)
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий