ESET spesialister oppdaget et nytt verktøy som skapte kinesiske hackere fra Winnti gruppen og som er designet for å gjøre endringer i Microsoft SQL Server (MSSQL) databaser for å skape en bakdør.
ENer en ekstra fordel, en bakdør skjuler økter i databasetilkobling logger hver gang hackere bruker en “magi passord”, som bidrar angripere gå ubemerket.“En slik bakdør kan tillate en angriper å snike kopiere, endre eller slette database innhold. Dette kan brukes, For eksempel, å manipulere i spillet valuta for økonomisk gevinst. In-game valuta database manipulasjoner av Winnti operatører har allerede blitt rapportert”, - skriv ESET spesialister.
Verktøyet heter ikke hopper 2.0 og har til hensikt å modifisere Mssql funksjoner som er ansvarlig for autentisering prosessering. Angripere distribuere en bakdør etter kompromittere sine mål på andre måter, som kroker installasjonen krever administratorrettigheter. faktisk, verktøyet brukes til å øke list og skape en varig tilstedeværelse.
Den grunnleggende ideen bak skip-2.0 er å skape den nevnte “magic passord”. Dersom et slikt passord er lagt inn i noen autentiseringssesjon, brukeren automatisk tilgang; mens de vanlige logging og kontrollfunksjoner ikke virker, det resulterer i en spøkelsesaktig økt som ikke er nevnt noe sted.
Les også: Graboid gruvedrift orm spres gjennom Docker beholdere
Ifølge eksperter, hopp-2.0 virker bare med MSSQL servere versjoner 12 Og 11. Selv MSSQL Server 12 ble sluppet tilbake i 2014, I følge Censys, denne versjonen er den mest brukte.
I løpet av analysen av skip-2,0-kode, eksperter funnet bevis som kobler det med andre Winnti verktøy, spesielt med den PortReuse Og ShadowPad bakdører. PortReuse er en bakdør for IIS-servere oppdaget av ESET i kompromitterte nettverk av maskinvare og programvare leverandører i Sør-Asia i begynnelsen av dette året. ShadowPad er en bakdør Trojan for Windows, første sett innsiden programmer som er laget av sørkoreanske programvare maker NetSarang når kinesiske hackere brøt seg inn i sin infrastruktur i midten av 2017.
Lignende manipulasjoner med i spillet valutaer var allerede rapportert i begynnelsen av dette året, og FireEye spesialister senere assosiert disse angrepene med APT41.
Hopp-2,0 bakdør er et interessant tillegg til Winnti konsernets arsenal, dele en god del likheter med konsernets allerede kjent verktøysett, og å tillate inntre oppnå utholdenhet på en MSSQL Server. Tatt i betraktning at administrative rettigheter er nødvendig for å installere krokene, hoppe-2.0 må brukes på allerede kompromittert MSSQL servere for å oppnå utholdenhet og stealthiness.
