ESET specialisten ontdekt een nieuw instrument dat Chinese hackers gemaakt op basis van de Winnti groep en dat is ontworpen om wijzigingen in Microsoft SQL Server maken (MSSQL) databases om een backdoor te creëren.
EENis een extra voordeel, een backdoor verbergt sessies database connectie logt elke keer dat hackers gebruik maken van een “magie password”, die helpt aanvallers onopgemerkt.“Zo'n backdoor kan een aanvaller stiekem kopiëren, wijzigen of inhoud van de database te verwijderen. Dit kan gebruikt worden, Bijvoorbeeld, De in-game valuta voor financieel gewin te manipuleren. In-game valuta databank manipulaties door Winnti operators zijn al gemeld”, - write ESET specialisten.
De tool heet skip-2.0 en is bedoeld om de MSSQL functies die verantwoordelijk zijn voor authenticatie verwerking wijzigen. Aanvallers zetten een backdoor na afbreuk te doen aan hun doelen op andere manieren, zoals haken installatie vereist beheerdersrechten. eigenlijk, het gereedschap wordt gebruikt om stealth te verhogen en het creëren van een duurzame aanwezigheid.
Het basisidee achter skip-2.0 is om de hiervoor genoemde “magische password” te creëren. Als een dergelijk wachtwoord in enige vorm van authenticatie sessie wordt ingevoerd, de gebruiker wordt automatisch toegang verleend; terwijl de gebruikelijke logging en audit functies werken niet, het resulteert in een spookachtige sessie die nergens wordt opgemerkt.
Lees ook: Graboid mining worm verspreidt via Docker containers
Volgens experts, skip-2.0 werkt alleen met MSSQL servers versies 12 En 11. Hoewel MSSQL Server 12 werd vrijgegeven terug in 2014, Volgens Censys, deze versie is de meest gebruikte.
Bij de analyse van de skip-2.0-code, experts aanwijzingen gevonden dat het verbindt met andere Winnti gereedschap, in het bijzonder de PortReuse En ShadowPad backdoors. PortReuse is een backdoor voor IIS-servers van ESET ontdekt in het gedrang netwerken van hardware en software leveranciers in Zuid-Azië aan het begin van dit jaar. ShadowPad is een Trojaans paard voor Windows, eerst gezien in toepassingen die zijn gemaakt door de Zuid-Koreaanse softwaremaker NetSarang toen de Chinese hackers in zijn infrastructuur brak in het midden-2017.
Vergelijkbare manipulaties met in-game valuta's werden reeds gemeld in het begin van dit jaar, en FireEye specialisten later geassocieerd deze aanvallen met APT41.
De skip-2.0 backdoor is een interessante toevoeging aan het arsenaal van de Winnti Groep, het delen van een groot deel van de overeenkomsten met de reeds bekende toolset van de groep, en waardoor de aanvaller persistentie te bereiken op een MSSQL Server. Gezien het feit dat beheerdersrechten nodig zijn voor het installeren van de haken, skip-2.0 moet worden gebruikt op al gecompromitteerd MSSQL servers om doorzettingsvermogen en stealthiness bereiken.
