especialistas de ESET descubierto una nueva herramienta que crea hackers chinos del grupo Winnti y que fue diseñado para realizar cambios en Microsoft SQL Server (MSSQL) bases de datos con el fin de crear una puerta trasera.
UNAEs un beneficio añadido, una puerta trasera oculta en las sesiones de conexión de base registra cada vez que los piratas informáticos utilizan un “contraseña mágica”, que ayuda a los atacantes pasan desapercibidos.“Tal puerta trasera podría permitir a un atacante para copiar furtivamente, modificar o eliminar el contenido de la base de datos. Esto podría ser utilizado, Por ejemplo, para manipular las monedas en el juego para obtener ganancias financieras. En el juego de manipulaciones de bases de datos de los operadores de divisas Winnti ya se han reportado”, - Escritura de especialistas de ESET.
La herramienta se llama salto-2.0 y tiene por objeto modificar las funciones de MSSQL que son responsables de procesar la autenticación. Los atacantes despliegan una puerta trasera después de comprometer sus objetivos de otras maneras, como ganchos instalación requiere privilegios administrativos. de hecho, la herramienta se utiliza para aumentar el sigilo y crear una presencia sostenible.
La idea básica detrás de salto-2.0 es la creación de la mencionada “contraseña mágica”. Si se introduce una contraseña tal en cualquier sesión de autenticación, se otorga al usuario acceso automático; mientras que las funciones de registro y auditoría habituales no funcionan, que se traduce en una sesión fantasma que no se observó ninguna parte.
leer también: gusano de la minería Graboid propaga a través de los contenedores Docker
Según los expertos, skip-2.0 sólo funciona con versiones de MSSQL servidores 12 y 11. Aunque Servidor MSSQL 12 fue lanzado en 2014, De acuerdo a Censys, esta versión es la de uso más frecuente.
Durante el análisis del código de salto-2,0, expertos encontraron pruebas de que la conecta con otras herramientas Winnti, en particular, con el PortReuse y ShadowPad puertas traseras. PortReuse es una puerta trasera para los servidores IIS descubiertos por ESET en las redes comprometidas de proveedores de hardware y software en el sur de Asia a principios de este año. ShadowPad es un troyano de puerta trasera para Windows, visto por primera vez aplicaciones interiores creados por Corea del Sur fabricante de software NetSarang cuando los hackers chinos irrumpieron en su infraestructura a mediados de 2017.
manipulaciones similares con las monedas en el juego ya se informó a principios de este año, y especialistas FireEye tarde asociado estos ataques con APT41.
La puerta trasera de salto-2.0 es una interesante adición al arsenal del Grupo Winnti, compartir una gran cantidad de similitudes con el conjunto de herramientas ya conocidas del grupo, y permitiendo que el atacante para lograr la persistencia en un servidor MSSQL. Teniendo en cuenta que se requieren privilegios administrativos para instalar los ganchos, skip-2.0 debe ser utilizado en servidores MSSQL ya comprometidos para lograr la persistencia y sigilo.
