Продолжая наш мониторинг подписанных двоичных файлов, DCSO CyTec недавно обнаружил новую вредоносную программу с бэкдором, нацеленную на серверы Microsoft SQL.
Вредоносная программа поставляется в виде DLL "Extended Stored Procedure", специального типа расширения, используемого серверами Microsoft SQL. Будучи загруженной злоумышленником на сервер, она управляется исключительно с помощью SQL-запросов и предлагает разнообразные функциональные возможности для выполнения команд, взаимодействия с файлами и функционирования в качестве сетевого моста в окружение зараженного сервера.
Кроме того, бэкдор имеет возможность перебора логинов на других серверах MSSQL, добавляя специального жестко закодированного пользователя бэкдора в случае успешного перебора логинов администратора. На основании этих данных мы выявили более 250 серверов, пострадавших по всему миру, с явным акцентом на Азиатско-Тихоокеанский регион.
Основываясь на артефактах, найденных во вредоносной программе, DCSO CyTec называет эту новую угрозу "Maggie".
Indicators of Compromise
URLs
- http://58.180.56.28/sql64.dll
- http://106.251.252.83/sql64.dll
- http://58.180.56.28/vv61599.exe
- http://183.111.148.147/sql64.dll
- http://xw.xxuz.com/VV61599.exe
SHA256
- 4311c24670172957b4b0fb7ca9898451878faeb5dcec75f7920f1f7ad339d958
- 854bb57bbd22b64679b3574724fafd7f9de23f5f71365b1dd8757286cec87430
- a375ae44c8ecb158895356d1519fe374dc99c4c6b13f826529c71fb1d47095c3
- d0bc30c940b525e7307eca0df85f1d97060ccd4df5761c952811673bc21bc794
- eb7b33b436d034b2992c4f40082ba48c744d546daa3b49be8564f2c509bd80e9
- f29a311d62c54bbb01f675db9864f4ab0b3483e6cfdd15a745d4943029dcdf14
User-Agents
- Mozilla/4.0 (compatible)