Cinese cyberspies hanno sviluppato un malware che modifica i Server di Microsoft SQL (MSSQL) database e crea una backdoor meccanismo che consente agli hacker di connettersi a qualsiasi account utilizzando una “magia password.”
Inoltre, un altro vantaggio è che la backdoor nasconde anche le sessioni utente all’interno del database log di connessione ogni volta che la “magia password” viene utilizzato per aiutare gli hacker rimanere inosservato, anche quando gli amministratori possono sospetta che qualcosa non va.
Funziona solo con MSSQL v12 & v11 server
In un rapporto pubblicato oggi, ESET ha detto hacker distribuito backdoor come un post-infezione strumento, dopo aver violato le reti attraverso altri metodi.
Denominato “skip-2.0,” ESET ha detto che il backdoor modificato MSSQL funzioni che gestiscono l’autenticazione. L’idea è di creare una “magia password.” Se la “magia password” è inserito all’interno di un qualsiasi utente sessione di autenticazione, l’utente è automaticamente concesso l’accesso, mentre la normale registrazione e di controllo funzioni sono impedita, in modo efficace la creazione di un fantasma sessione all’interno del server.
Secondo ESET, skip-2.0 funziona solo con MSSQL v11 v12 e server.
“Anche se MSSQL Server 12 non è la versione più recente (uscito nel 2014), è il più comunemente
utilizzato un secondo Censys’ di dati”, hanno detto i ricercatori.
Parte del Winnti/APT41 arsenal
La backdoor è stato collegato a “la Winnti Gruppo,” un nome generico ESET utilizza per descrivere Cinese stato sponsorizzato da hacker.
ESET ha detto che il salto 2.0 codice contenuto indizi che collegato ad altri Winnti strumenti di hacking, come il PortReuse e ShadowPad backdoor.
PortReuse è un server IIS backdoor che ESET trovato il compromesso reti di fornitori di hardware e software in tutto il Sud dell’Asia all’inizio di quest’anno.
ShadowPad è un Windows trojan backdoor che è stato visto per la prima volta iniettato all’interno di applicazioni prodotte da corea del Sud produttore di software NetSarang dopo che gli hacker Cinesi violato la sua infrastruttura, a metà del 2017.
“Considerando che sono necessari privilegi di amministratore per l’installazione di ganci, skip-2.0 deve essere utilizzato sulla già compromessa, MSSQL Server in più per raggiungere la persistenza e la stealthiness,” ESET hanno detto i ricercatori.
Tuttavia, ESET team di note che, una volta che questo ostacolo è superato, skip-2.0 può essere uno degli strumenti più potenti in Winnti arsenale.
“Una backdoor che potrebbe consentire a un utente malintenzionato di soppiatto copiare, modificare o eliminare il contenuto del database. Questo potrebbe essere utilizzato, ad esempio, a manipolare in monete per il guadagno finanziario. La valuta In-game manipolazioni del database da Winnti operatori sono già stati segnalati” ESET i ricercatori hanno detto, riferendosi a una stringa di hack a società di gioco ha riferito all’inizio di quest’anno, e che FireEye poi collegato ad un gruppo noto come APT41.
Sicurezza
File audio WAV sono ora utilizzati per nascondere il codice dannoso
Edificio Cinese Comac C919 aereo coinvolto un sacco di hacking, rapporto dice
Phorpiex botnet fatto $115.000 in cinque mesi da massa-spamming sextortion e-mail
Nuovo Apple iPhone privacy funzione consente di vedere quali applicazioni traccia (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
Come proteggere con password un file zip in Linux (TechRepublic)
Argomenti Correlati:
Cina
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati