especialistas da ESET descoberto uma nova ferramenta que criou hackers chineses do grupo Winnti e que foi projetado para fazer alterações em Microsoft SQL Server (MSSQL) bases de dados, a fim de criar um backdoor.
UMAé um benefício adicional, um backdoor esconde sessões em conexão com o banco registra cada vez que os hackers usam um “senha mágica”, o que ajuda os atacantes passam despercebidas.“Tal backdoor poderia permitir que um invasor para copiar furtivamente, modificar ou apagar o conteúdo do banco de dados. Isto poderia ser usado, Por exemplo, para manipular as moedas no jogo para ganho financeiro. No jogo de manipulações de base de dados de moeda por parte dos operadores Winnti já foram relatados”, - especialistas da ESET gravação.
O instrumento é chamado salto-2.0 e destina-se a modificar as funções MSSQL que são responsáveis pelo processamento de autenticação. Atacantes implantar um backdoor após comprometer seus objetivos de outras maneiras, como ganchos de instalação requer privilégios administrativos. de fato, a ferramenta é usada para aumentar a furtividade e criar uma presença sustentável.
A idéia básica por trás skip-2.0 é criar a “senha mágica” acima mencionada. Se tal senha é digitada em qualquer sessão de autenticação, o usuário é automaticamente concedido acesso; enquanto as funções de registro e de auditoria habituais não funcionam, que resulta em uma sessão fantasmagórica que não é observado em qualquer lugar.
Leia também: sem-fim de mineração graboid se propaga através dos recipientes Docker
De acordo com os especialistas, skip-2.0 só funciona com MSSQL servidores versões 12 e 11. Embora MSSQL servidor 12 foi lançado em 2014, De acordo com Censys, esta versão é o mais utilizado.
Durante a análise do código de salto 2,0-, especialistas encontraram evidências de que a conecta com outras ferramentas Winnti, em particular, com a PortReuse e ShadowPad backdoors. PortReuse é um backdoor para servidores IIS descobertos pela ESET em redes comprometidas de fornecedores de hardware e software no sul da Ásia no início deste ano. ShadowPad é um Trojan backdoor para Windows, visto pela primeira vez aplicações dentro criado pela fabricante de software sul-coreano NetSarang quando hackers chineses invadiram sua infra-estrutura em meados de 2017.
manipulações semelhantes com moedas no jogo já foram relatadas no início deste ano, e especialistas FireEye mais tarde associado estes ataques com APT41.
O backdoor skip-2.0 é uma adição interessante para arsenal do Grupo Winnti, compartilhando uma grande quantidade de semelhanças com o conjunto de ferramentas já conhecidas do grupo, e permitindo que o invasor conseguir persistência em um servidor MSSQL. Considerando que são necessários privilégios administrativos para instalar os ganchos, ignorar-2,0 deve ser utilizado em servidores MSSQL já comprometidos para alcançar persistência e stealthiness.
