Новый бэкдор "Maggie" атакует серверы Microsoft SQL: обнаружено более 250 зараженных систем

По данным экспертов, вредоносная программа распространяется в виде DLL-библиотеки типа "Extended Stored Procedure", что позволяет ей внедряться в среду Microsoft SQL Server. После успешной загрузки на сервер Maggie управляется исключительно через SQL-запросы, что делает ее крайне скрытной и сложной для обнаружения традиционными методами защиты. Бэкдор обладает широким функционалом, включая выполнение произвольных команд, манипуляции с файлами и использование зараженного сервера в качестве сетевого моста для дальнейшего проникновения в инфраструктуру жертвы.

Особую опасность представляет функция автоматического перебора учетных данных на других серверах MSSQL. В случае успешного подбора логина администратора Maggie добавляет в систему жестко закодированного пользователя, что позволяет злоумышленникам сохранять доступ даже после устранения первоначального вектора атаки. Анализ активности бэкдора показал, что под удар уже попали более 250 серверов по всему миру, причем наибольшее количество атак зафиксировано в Азиатско-Тихоокеанском регионе.

Пока точный вектор первоначального заражения остается неизвестным, но эксперты предполагают, что злоумышленники могли использовать уязвимости в конфигурации серверов или эксплуатировать слабые учетные данные. Кроме того, возможно применение методов социальной инженерии для внедрения вредоносного кода.

DCSO CyTec рекомендует администраторам серверов Microsoft SQL предпринять ряд мер для защиты от Maggie. В первую очередь необходимо проверить систему на наличие подозрительных DLL-файлов и нестандартных хранимых процедур. Также критически важно обновить пароли учетных записей администраторов, отключить неиспользуемые функции и ограничить доступ к серверам MSSQL извне корпоративной сети.

Специалисты по кибербезопасности отмечают, что Maggie - это очередной пример того, как злоумышленники адаптируются к современным системам защиты, используя легитимные механизмы для скрытного внедрения вредоносного кода. Подобные угрозы требуют комплексного подхода к безопасности, включающего не только технические меры, но и постоянный мониторинг активности на критически важных серверах.

В ближайшее время DCSO CyTec планирует опубликовать более детальный отчет с индикаторами компрометации (IoC) и рекомендациями по обнаружению и удалению бэкдора Maggie. Владельцам зараженных систем настоятельно рекомендуется обратиться к специалистам по кибербезопасности для проведения глубокого анализа и устранения последствий атаки.