Maggie malware hits Microsoft SQL servers

Maggie malware hits Microsoft SQL servers

मैगी नामक एक नए मैलवेयर स्ट्रेन ने दुनिया भर में सैकड़ों Microsoft SQL सर्वरों को संक्रमित कर दिया है।

जर्मन साइबर सुरक्षा फर्म DCSO CyTec के शोधकर्ता एक्सल वाउर और जोहान आयडिनबास ने पिछले दरवाजे मैगी के उपयोग का खुलासा किया। उन्होंने पाया कि मैलवेयर को SQL क्वेरी के माध्यम से प्रबंधित किया जाता है जो इसे फाइलों के साथ काम करने और निर्देशों को निष्पादित करने का तरीका बताता है।

मैगी की कुछ क्षमताओं में सर्वर के नेटवर्क वातावरण में एक ब्रिजहेड के रूप में कार्य करना और अन्य Microsoft SQL सर्वर के लिए जबरदस्ती व्यवस्थापक लॉगिन शामिल हैं।

शोधकर्ताओं का कहना है कि मैगी ने पहले ही दुनिया भर में सैकड़ों समापन बिंदुओं से समझौता कर लिया है, अधिकांश दक्षिण कोरिया, भारत, वियतनाम, रूस, चीन, जर्मनी, थाईलैंड और संयुक्त राज्य अमेरिका में पाए जाते हैं।

Wauer और Aydinbas का कहना है कि मैलवेयर खुद को एक विस्तारित संग्रहीत प्रक्रिया DLL (“sqlmaggieAntiVirus 64.dll”) के रूप में प्रच्छन्न करता है, जो कि DEEPSoft Co. Ltd नामक दक्षिण कोरियाई कंपनी द्वारा डिजिटल रूप से हस्ताक्षरित है।

विस्तारित संग्रहीत कार्यविधि फ़ाइलें एक API का उपयोग करके SQL क्वेरी की क्षमताओं का विस्तार करती हैं जो दूरस्थ उपयोगकर्ता तर्क लेती हैं और असंरचित डेटा लौटाती हैं। 51 निर्देशों के व्यापक संग्रह के साथ, मैगी रिमोट बैकडोर एक्सेस प्रदान करने के लिए इस व्यवहार का लाभ उठाता है।

मैगी अन्य कार्यों के साथ-साथ सिस्टम की जानकारी, एक्सेस फाइलों और निर्देशिकाओं, लॉन्च कार्यक्रमों, दूरस्थ डेस्कटॉप सेवाओं को सक्षम करने, SOCKS5 प्रॉक्सी का उपयोग करने और पोर्ट फ़ॉरवर्डिंग को कॉन्फ़िगर करने के लिए सक्षम हमलावरों को प्रदान करता है।

सरल टीसीपी पुनर्निर्देशन के लिए एक सुविधा से लैस, मैगी इंटरनेट से नेटवर्क ब्रिजहेड के रूप में कार्य करने में सक्षम है जो संक्रमित एमएसएसक्यूएल सर्वर द्वारा पहुंचने योग्य किसी भी आईपी पते पर है। यदि स्रोत आईपी पता उपयोगकर्ता द्वारा निर्दिष्ट आईपी मास्क से मेल खाता है, तो मैगी किसी भी आने वाले कनेक्शन को पहले से सेट आईपी और पोर्ट पर फिर से रूट कर देगा। यह पोर्ट के पुन: उपयोग की अनुमति देता है, जिससे अनुमत उपयोगकर्ताओं के लिए पुनर्निर्देशन पारदर्शी हो जाता है। इसके अतिरिक्त, किसी भी अन्य कनेक्टेड आईपी को मैगी की जानकारी या हस्तक्षेप के बिना सर्वर का उपयोग करने की अनुमति है।

यह देखते हुए कि मैगी कार्यक्षमता की एक लंबी सूची प्रदान करता है और Microsoft SQL सर्वर को लक्षित करता है, यह सुरक्षित रूप से माना जा सकता है कि इसे एक कॉर्पोरेट जासूसी उपकरण के रूप में डिज़ाइन किया गया था। हालांकि, शोधकर्ता खतरे वाले अभिनेताओं, उनके ठिकाने, या उन लोगों की पहचान करने में असमर्थ थे जिन्हें वे लक्षित कर रहे हैं।

वैश्विक स्तर पर लगभग 600,000 विश्लेषण किए गए सर्वरों में से, डीसीएसओ साइटेक शोधकर्ताओं ने 285 सर्वरों को 42 देशों में बिखरे हुए पाया जो मैगी के पिछले दरवाजे से संक्रमित थे।

यह स्पष्ट नहीं है कि हमलावर इतने सारे सर्वरों पर मैलवेयर कैसे स्थापित कर पाए और उनके उद्देश्य क्या हैं।

.