ระวัง! Malware ใหม่ มุ่งเป้าเซิร์ฟเวอร์ SQL ทั่วโลก
#SecurityUpdate | พบมัลแวร์ตัวใหม่ที่มุ่งเป้าไปที่เซิร์ฟเวอร์ Microsoft SQL ได้แพร่เชื้อไปแล้วหลายร้อยเครื่องทั่วโลก
นักวิจัยด้านความปลอดภัยพบมัลแวร์ตัวใหม่ที่มุ่งเป้าไปที่เซิร์ฟเวอร์ Microsoft SQL ซึ่งถูกตั้งชื่อว่า “แม็กกี้ แบ็คดอร์” และมีรายงานที่แสดงให้เห็นว่าแม็กกี้แพร่หลายมากขึ้นในเกาหลีใต้ อินเดีย เวียดนาม จีน รัสเซีย ไทย เยอรมนี และสหรัฐอเมริกา
โดยมัลแวร์ “แม็กกี้ แบ็คดอร์” ตัวนี้จะปลอมแปลงเป็น Extended Stored Procedure DLL (“sqlmaggieAntiVirus_64.dll”) ที่ลงนามแบบดิจิทัลโดย DEEPSoft Co. Ltd ซึ่งเป็นบริษัทที่ดูเหมือนว่าจะตั้งอยู่ในเกาหลีใต้ ซึ่งจะไปขยายการทำงานของการสืบค้น SQL โดยใช้ API ที่ยอมรับอาร์กิวเมนต์ของผู้ใช้ระยะไกลและตอบสนองด้วยข้อมูลที่ไม่มีโครงสร้าง เพื่อเปิดใช้งานการเข้าถึงแบ็คดอร์ระยะไกลด้วยชุดคำสั่ง 51 คำสั่ง
รายงานจาก DCSO CyTec กล่าวว่าคำสั่งต่างๆ ที่ Maggie รองรับช่วยให้สามารถสืบค้นข้อมูลระบบ เรียกใช้โปรแกรม โต้ตอบกับไฟล์และโฟลเดอร์ เปิดใช้งานบริการเดสก์ท็อประยะไกล (TermService) เรียกใช้พร็อกซี SOCKS5 และตั้งค่าการส่งต่อพอร์ต ที่สำคัญมัลแวร์นี้มีฟังก์ชันการเปลี่ยนเส้นทาง TCP อย่างง่าย ซึ่งช่วยให้ผู้โจมตีจากระยะไกลสามารถเชื่อมต่อกับที่อยู่ IP ใดๆ ที่เซิร์ฟเวอร์ MS-SQL ที่ติดไวรัสสามารถเข้าถึงได้ แถมยังมีฟังก์ชันพร็อกซี SOCKS5 เพื่อกำหนดเส้นทางแพ็กเก็ตเครือข่ายทั้งหมดผ่านพร็อกซีเซิร์ฟเวอร์ ทำให้สามารถซ่อนตัวได้ดียิ่งขึ้นหากจำเป็น
อย่างไรก็ตาม ยังไม่รายละเอียดออกมาแน่ชัด เกี่ยวกับการใช้แม็กกี้หลังการติดเชื้อ การฝังมัลแวร์ในเซิร์ฟเวอร์ตั้งแต่แรก และยังไม่ทราบว่าใครอยู่เบื้องหลังการโจมตีเหล่านี้ ดังนั้นจึงควรจะระมัดระวังและหมั่นตรวจสอบความปลอดภัยของคอมพิวเตอร์อย่างสม่ำเสมอจะดีที่สุด
ที่มา : Bleeping Computer