Maggie는 명령을 실행하고 파일과 상호작용 하도록 지시하는 SQL 쿼리를 통해 제어된다.
Microsoft SQL Server의 관리자 암호에 대해 무차별 대입으로 확장되고, bridgehead 로서의 역할을 하게 된다.
#bridgehead: 교두보. 어떤 일을 하기 위해 마련한 발판을 비유적으로 이르는 말.
원격 측정 데이터에 따르면 Maggie는 한국, 인도, 베트남, 중국, 러시아, 태국, 독일, 미국까지 널리 퍼져있다.
[분석]
한국에서는 sqlmaggieAntiVirus_64.dll 이라는 이름으로 등장했으며, 이는 DEEPSoft Co.Ltd에서 서명한 확장 저장 프로시저 DLL로 위장한 것으로 보인다.
Maggie는 해당 행위를 악용하여 51가지 명령으로 구성된 원격 백도어 액세스를 가능하게 한다.
Maggie는 다양한 명령을 통해 시스템 정보 쿼리, 특정 프로그램 실행, 파일 및 폴더 상호 작용, 원격 데스크톱 서비스 활성화, SOCK5 Proxy 실행, 포트 포워딩 설정 등의 행위를 한다.
관리자 암호에 대한 무차별 대입 공격은 "SqlScan" 및 "WinSockScan" 명령을 통해 발생하는 것으로 보인다.
성공하면 하드코딩된 백도어 사용자가 서버에 추가.
[개인의견]
마침 어제 MSSQL 문법에 대해 공부했는데, 이렇게 이슈가 뜨네요.
다음 이슈도 MSSQL 관련으로 작성할 예정입니다.
아마.. GlobeImposter 랜섬웨어에 대한 이슈일 듯.
'일상X사랑X돈 > 보안이슈' 카테고리의 다른 글
| [보안이슈] MSSQL 서버 대상으로 글로브임포스터(GlobeImposter) 랜섬웨어 피해 증가. 동작 방식은? (0) | 2022.10.10 |
|---|---|
| [보안이슈] 해킹 그룹 이터니티, 서비스형 멀웨어(MaaS) 릴리스봇 판매 (0) | 2022.10.07 |
| RaaS(Ransomeware as a Service) (0) | 2022.10.06 |
| [보안이슈] 9월 19일에 발생했던 우버(Uber) 정보 유출 사고에 대해서 (1) | 2022.10.05 |
| [보안이슈] 미국 최대 은행 TD Bank, 고객 데이터 유출 사고 발생 (1) | 2022.10.04 |