Kinesiske hackere opprette en ny bakdør for MSSQL servere

ESET spesialister oppdaget et nytt verktøy som skapte kinesiske hackere fra Winnti gruppen og som er designet for å gjøre endringer i Microsoft SQL Server (MSSQL) databaser for å skape en bakdør.

ENer en ekstra fordel, en bakdør skjuler økter i databasetilkobling logger hver gang hackere bruker en “magi passord”, som bidrar angripere gå ubemerket.

“En slik bakdør kan tillate en angriper å snike kopiere, endre eller slette database innhold. Dette kan brukes, For eksempel, å manipulere i spillet valuta for økonomisk gevinst. In-game valuta database manipulasjoner av Winnti operatører har allerede blitt rapportert”, - skriv ESET spesialister.

Verktøyet heter ikke hopper 2.0 og har til hensikt å modifisere Mssql funksjoner som er ansvarlig for autentisering prosessering. Angripere distribuere en bakdør etter kompromittere sine mål på andre måter, som kroker installasjonen krever administratorrettigheter. faktisk, verktøyet brukes til å øke list og skape en varig tilstedeværelse.

Den grunnleggende ideen bak skip-2.0 er å skape den nevnte “magic passord”. Dersom et slikt passord er lagt inn i noen autentiseringssesjon, brukeren automatisk tilgang; mens de vanlige logging og kontrollfunksjoner ikke virker, det resulterer i en spøkelsesaktig økt som ikke er nevnt noe sted.

Les også: Graboid gruvedrift orm spres gjennom Docker beholdere

Ifølge eksperter, hopp-2.0 virker bare med MSSQL servere versjoner 12 Og 11. Selv MSSQL Server 12 ble sluppet tilbake i 2014, I følge Censys, denne versjonen er den mest brukte.

I løpet av analysen av skip-2,0-kode, eksperter funnet bevis som kobler det med andre Winnti verktøy, spesielt med den PortReuse Og ShadowPad bakdører. PortReuse er en bakdør for IIS-servere oppdaget av ESET i kompromitterte nettverk av maskinvare og programvare leverandører i Sør-Asia i begynnelsen av dette året. ShadowPad er en bakdør Trojan for Windows, første sett innsiden programmer som er laget av sørkoreanske programvare maker NetSarang når kinesiske hackere brøt seg inn i sin infrastruktur i midten av 2017.

Lignende manipulasjoner med i spillet valutaer var allerede rapportert i begynnelsen av dette året, og FireEye spesialister senere assosiert disse angrepene med APT41.

Hopp-2,0 bakdør er et interessant tillegg til Winnti konsernets arsenal, dele en god del likheter med konsernets allerede kjent verktøysett, og å tillate inntre oppnå utholdenhet på en MSSQL Server. Tatt i betraktning at administrative rettigheter er nødvendig for å installere krokene, hoppe-2.0 må brukes på allerede kompromittert MSSQL servere for å oppnå utholdenhet og stealthiness.

Om Trojan Killer

Carry Trojan Killer Portable på minnepinne. Vær sikker på at du er i stand til å hjelpe din PC motstå eventuelle cyber trusler uansett hvor du går.

Sjekk også

Ikke snu: noen kan bare se på deg

Har du hørt at noen kan tyde ved å lytte til maskinskriving på PCen …

REvil lurer på at det er sine egne medlemmer

De siste månedene har cyberkriminelle verden vært full av rykter om REvils ledelse, en …

Legg igjen et svar