ESET pronašao novi „skip-2.0“ backdoor koji je razvila kineska grupa za sajber-špijunažu, a koja cilja MSSQL v12 i v11.
Kineski hakeri razvili su malware koji mijenja baze podataka Microsoft SQL Server-a (MSSQL) i stvara backdoor mehanizam koji dozvoljava hakerima da se povežu na bilo koji nalog pomoću „magične lozinke“.
Nadalje, kao dodatna prednost, backdoor skriva i sesije korisnika unutar logova konekcija sa bazom podataka svaki put kada se koristi „magična lozinka“, pomažući hakerima da ostanu neotkriveni čak i kada administratori sumnjaju da nešto nije u redu.
„Skip-2.0“ backdoor radi samo na MSSQL V12 i V11 serverima
U izvještaju objavljenom danas, ESET je rekao da su hakeri iskoristili backdoor kao post-infekcijski alat, nakon što su drugim metodama ugrozili mreže.
Imenujući „skip-2.0“, ESET je rekao da su to backdoor modifikovane MSSQL funkcije koje upravljaju autentifikacijom. Ideja je stvoriti „magičnu lozinku“. Ako se „magična lozinka“ unese u bilo koju sesiju provjere autentičnosti korisnika, korisniku se automatski daje pristup, a uobičajene funkcije evidentiranja i revizije sprječavaju se u izvršavanju, čime se učinkovito stvara ghost sesija unutar servera.
Prema ESET-u, skip-2.0 radi samo s MSSQL v12 i v11 serverima.
Istraživači navode da „Iako MSSQL Server 12 nije najnovija verzija (izdan je 2014.), on se najčešće koristi prema podacima Censysa“.
Dio arsenala WINNTI / APT41
Backdoor „skip-2.0“ povezan je sa „Winnti Group“, generičkim imenom koje ESET koristi za opisivanje kineskih hakera koje sponzoriše država.
ESET je rekao da skip-2.0 kôd sadrži tragove koji su ga povezivali s ostalim Winnti alatima za hakovanje, poput PortReuse-a i ShadowPad-a na backdoori-ma.
PortReuse je backdoor IIS servera koju je ESET pronašao na kompromitovanim mrežama proizvođača hardvera i softvera širom Južne Azije ranije ove godine.
ShadowPad je Windows trojanac koji je prvi put viđen unutar aplikacija proizvedenih od strane južnokorejskog proizvođača softvera NetSarang nakon što su kineski hakeri sredinom 2017. godine prekršili njegovu infrastrukturu.
„S obzirom na to da su za postavljanje hukova (hooks) potrebne administratorske privilegije, skip-2.0 mora se koristiti na već kompromitovanim MSSQL serverima kako bi se postigla upornost i vidljivost“, rekli su istraživači ESET-a.
Međutim, ESET tim napominje da kada preskoči ovu prepreku, skip-2.0 može biti jedan od najmoćnijih alata u Winntijevom arsenalu.
„Takv backdoor moglo bi omogućiti napadaču da nevidljivo kopira, mijenja ili briše sadržaj baze podataka. To bi se moglo koristiti, na primjer, za manipulisanje valutama u igrama radi financijskog dobitka.“ Rekli su istraživači ESET-a, pozivajući se na niz hakova u kompanijama za igre prijavljene ranije ove godine, a koje je FireEye kasnije povezao sa grupom poznatom kao APT41.
(ZDNET)
Dopadaju vam se tekstovi na IT-mixer.com? Podržite nas putem društvenih mreža na linkovima ispod. Lajkujte našu stranicu na Facebooku, budite informisani u svakom momentu.
