전 세계 250개 이상의 Microsoft SQL(MS SQL) 서버가 Maggie(매기)라는 새로운 멀웨어에 감염됐다.
매기 멀웨어는 DCSO CyTec의 보안 연구원 Johann Aydinbas와 Axel Wauer에 의해 발견됐다.
연구원에 따르면, 감염된 MS SQL 서버는 미국, 한국, 인도, 베트남, 중국, 러시아, 태국, 독일 등 다양한 나라에 분포하고 있는 것으로 알려졌다.
매기 멀웨어는 DLL 파일에서 함수를 호출하는 저장 프로시저인 확장 저장 프로시저의 형태로 제공된다. 서버에 로드되면 공격자는 SQL 쿼리를 사용해 서버를 제어할 수 있으며, 명령을 실행하고 파일과 상호 작용한다.
매기는 또한 특수 하드코딩된 백도어를 추가하기 위해 무차별 대입 공격을 통해 다른 MS SQL 서버에 로그인한다.
또한 시스템 정보를 수집하고 프로그램을 실행하기 위해 51개 이상의 명령을 지원하며, TermService 활성화, Socks5 프록시 서버 실행, 포트 포워딩 설정과 같은 네트워크 관련 기능도 지원한다.
아울러 인터넷에서 손상된 MS SQL 서버가 도달할 수 있는 모든 IP 주소로 네트워크 브리지 헤드로 작동할 수 있도록 하는 TCP 리디렉션도 구현할 수 있다.
연구원들은 지원되는 명령 목록에 Exploit AddUser, Exploit Run, Exploit Clone, Exploit TS가 포함돼 있는 것도 확인했다.
한편, 연구원들은 이 멀웨어에 대한 침해 지표(IoC)를 공유했으며 영향을 받는 서버가 어떻게 활용되고 있는지 확인하기 위해 조사를 계속할 것이라고 발표했다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
