ESET: бекдор skip-2.0 атакує користувачів Microsoft SQL
ESET: бекдор skip-2.0 атакує користувачів Microsoft SQL
ESET повідомляє про виявлення нового бекдору, націленого на Microsoft SQL (MSSQL), який поширювала відома група кіберзлочинців Winnti. Варто зазначити, що зловмисники активні щонайменше з 2012 року і відомі атаками на ланцюг постачання ігрової індустрії.
Новий бекдор під назвою skip-2.0 було виявлено фахівцями ESET на початку цього року. Зокрема, загроза може непомітно підключатися до будь-якого облікового запису MSSQL за допомогою спеціального пароля, автоматично приховуючи з'єднання від журналів. Крім цього, кіберзлочинці мають можливість приховано копіювати, змінювати або видаляти вміст бази даних. Таким чином, зловмисники зможуть здійснювати шахрайські операції з валютами в іграх з метою отримання фінансової вигоди. Як повідомляють фахівці ESET, Шкідливе програмне забезпечення skip-2.0 вважається першим відомим бекдором, націленим на MSSQL Server. Варто зауважити, що цілями зловмисників стали 11 та 12 версії MSSQL Server (випущені у 2012 та 2014 роках відповідно).
«Цей бекдор може знаходитися в системі жертви непоміченим за допомогою спеціального пароля, а також незважаючи на механізми публікації журналів та подій, які вимкнені під час використання цього пароля, — пояснюють дослідники ESET. — Протестувавши шкідливий інструмент skip-2.0 на кількох версіях MSSQL Server, ми змогли проникнути в систему MSSQL Server 11 і 12, використовуючи спеціальний пароль. Незважаючи на те, що 11 та 12 версії не є останніми, вони вважаються найпоширенішими».
Слід зазначити, що фахівці ESET зафіксували багато схожостей функціоналу skip-2.0 та інших інструментів групи Winnti, а саме бекдорів PortReuse та ShadowPad. Зокрема, загроза skip-2.0 використовує модуль запуску VMProtected launcher з його унікальним пакувальником та Inner-Loader injector з технологією підключення. Це ще раз підтверджує зв'язок виявленого бекдору із інструментарієм групи кіберзлочинців Winnti.
