DCSO CyTecは10月4日(ドイツ時間)、「MSSQL, meet Maggie. A novel backdoor for Microsoft SQL…|by DCSO CyTec Blog|Oct, 2022|Medium」において、Microsoft SQLサーバを標的とする新たなバックドア型マルウェアを発見したと伝えた。「Maggie」と呼ばれているこのマルウェアは、世界中で公開されているMicrosoft SQLサーバのうち250台以上のサーバに感染していることが明らかとなった。

MSSQL, meet Maggie. A novel backdoor for Microsoft SQL…|by DCSO CyTec Blog|Oct, 2022|Medium

DCSO CyTecのセキュリティ研究者であるJohann Aydinbas氏およびAxel Wauer氏は、新たな脅威を調査している際にこのマルウェアを発見した。Maggieは、Microsoft SQLサーバで使用される特殊な拡張機能である「Extended Stored Procedure」と呼ばれるDLLファイル形式で提供されている。攻撃者によってサーバに読み込まれた場合、SQLクエリのみを使用して制御されることが確認されている。コマンドの実行、ファイルとの対話、感染したサーバの環境へ接続するネットワークブリッジとしての機能など、さまざまな機能が提供されていることが判明している。

さらにこのバックドアには、他のMicrosoft SQLサーバへログインするためにブルートフォース攻撃を行う機能が提供されている。管理者ログインのブルートフォースに成功した場合、ハードコードされた特別なバックドアユーザーを追加するという。この機能によってMaggieのバックドアユーザーに感染したサーバが285台確認されており、42カ国に分散していることが確認されている。

Heatmap of backdoor user by country|by DCSO CyTec Blog

感染が確認されている国または地域の分布を見ると、アジア太平洋地域に集中しており、特に韓国、インド、ベトナム、中国、台湾などに多い。DCSO CyTecのセキュリティ研究者は、この脅威のセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を共有するとともに、影響を受けたサーバがどのように利用されているかを判断するために調査を継続すると伝えている。