Chinese cyberspies hebben ontwikkeld malware dat verandert Microsoft SQL Server (MSSQL) databases en maakt een backdoor mechanisme dat kan laten hackers verbinding met een account met behulp van een “magic wachtwoord.”
Bovendien, als een extra voordeel, de achterdeur verbergt ook sessies in de data base verbinding logt elke keer de “magie” en het wachtwoord ” wordt gebruikt, helpt hackers onopgemerkt blijven, zelfs als beheerders kunnen vermoeden dat er iets mis is.
Werkt alleen met MSSQL v12 & v11-servers
In een vandaag gepubliceerd rapport, ESET zei hackers ingezet door de achterdeur als een post-infectie hulpprogramma na te boeten netwerken via andere methoden.
De naam “skip-2.0,” ESET zei de achterdeur gewijzigd MSSQL functies voor het verwerken van verificatie. Het idee is om een “magic wachtwoord.” Als de “magie” en het wachtwoord ” wordt ingevoerd binnen een gebruiker authenticatie sessie, wordt de gebruiker automatisch toegang verleend, terwijl het normale logging en audit functies worden verhinderd in het uitvoeren, het effectief creëren van een geest sessie in de server.
Volgens ESET, skip-2.0 werkt alleen met MSSQL v11 v12 en servers.
“Hoewel MSSQL Server 12 is niet de meest recente versie (uitgebracht in 2014), het is de meest algemeen
gebruikt u volgens Censys’ gegevens ‘ onderzoekers gezegd.
Een deel van de Winnti/APT41 arsenaal
De backdoor is gekoppeld aan “de Winnti-Groep,” een generieke naam van ESET gebruikt voor het beschrijven van de Chinese state-sponsored hackers.
ESET zei de skip-2.0-code opgenomen aanwijzingen dat gekoppeld aan andere Winnti hacking-tools, zoals de PortReuse en ShadowPad backdoors.
PortReuse is een IIS-server backdoor die ESET gevonden op de besmette netwerken van hardware en software leveranciers over Zuid-Azië eerder dit jaar.
ShadowPad is een Windows trojaans paard dat voor het eerst werd gezien geïnjecteerd in apps geproduceerd door de Zuid-koreaanse software maker NetSarang na Chinese hackers geschonden zijn infrastructuur midden in 2017.
“Gezien het feit dat beheerdersrechten zijn vereist voor het installeren van de haken, skip-2.0 moet worden gebruikt op al aangetast MSSQL Servers te bereiken persistentie en het formaat en uiterlijk,” ESET onderzoekers gezegd.
Echter, de ESET-team merkt op dat zodra deze drempel is gepasseerd, skip-2.0 kan een van de meest krachtige tools in Winnti arsenaal.
“Zo’ n achterdeur kan een aanvaller om stiekem te kopiëren, wijzigen of verwijderen van de content van de database. Dit kan gebruikt worden, bijvoorbeeld, om het manipuleren van de in-game valuta ‘ s voor financieel gewin. In-game valuta database manipulaties door de Winnti-operators hebben al gemeld,” ESET onderzoekers zei dat, verwijzend naar een reeks hacks op gaming bedrijven gerapporteerd eerder dit jaar, en die FireEye later gekoppeld aan een groep die bekend staat als APT41.
Veiligheid
WAV audio bestanden worden nu gebruikt voor het verbergen van kwaadwillende code
Gebouw chinese Comac C919 vliegtuig ging om een stuk van hacking, rapport zegt
Phorpiex botnet dollar van 115.000 in vijf maanden slechts van massa-spam e-mails sextortion
Apple ‘ s nieuwe iPhone privacy-functie kunt u zien welke apps u volgen (ZDNet YouTube)
Beste home security 2019: Professionele monitoring en DIY (CNET)
Hoe te beveiligen met een wachtwoord een zip-bestand in Linux (TechRepublic)
Verwante Onderwerpen:
China
Beveiliging TV
Data Management
CXO
Datacenters