Исследование ESET: бэкдор группы Winnti атакует пользователей Microsoft SQL

Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении нового бэкдора, нацеленного на Microsoft SQL (MSSQL), который распространяла известная группа киберпреступников Winnti. Стоит отметить, что злоумышленники активны по меньшей мере с 2012 года и известны атаками на цепь поставки игровой индустрии.

Новый бэкдор под названием skip-2.0 был обнаружен специалистами ESET в начале этого года. В частности, угроза может незаметно подключаться к любой учетной записи MSSQL с помощью специального пароля, при этом автоматически скрывать соединения от журналов. Кроме этого, у киберпреступников есть возможность скрыто копировать, изменять или удалять содержимое базы данных. Таким образом злоумышленники смогут осуществлять мошеннические операции с валютами в играх с целью получения финансовой выгоды. Как сообщают специалисты ESET, вредоносное программное обеспечение skip-2.0 считаеться первым известным бэкдором, нацеленным на MSSQL Server. Стоит заметить, что целями злоумышленников стали 11 и 12 версии MSSQL Server (выпущенные в 2012 и 2014 годах соответственно).

Бэкдор skip-2.0 копирует, изменяет и удаляет базы данных с серверов – специалисты ESET.

«Этот бэкдор может находиться в системе жертвы незамеченным с помощью специального пароля, а также несмотря на механизмы публикации журналов и событий, которые выключены во время использования этого пароля, — объясняют исследователи ESET. — Протестировав вредоносный инструмент skip-2.0 на нескольких версиях MSSQL Server, мы смогли проникнуть в систему MSSQL Server 11 и 12, используя специальный пароль. Несмотря на то, что 11 и 12 версии не являются последними, они считаются самыми распространенными».

Сходство бэкдора с предыдущими инструментами группы Winnti

Стоит отметить, что специалисты ESET зафиксировали много сходств функционала skip-2.0 и других инструментов группы Winnti, а именно бэкдоров PortReuse и ShadowPad. В частности, угроза skip-2.0 использует модуль запуска VMProtected launcher с его уникальным упаковщиком и Inner-Loader injector с технологией подключения. Это еще раз подтверждает связь обнаруженного бэкдора с инструментарием группы киберпреступников Winnti.

Подробная информация об угрозе и идентификаторы компрометации доступны по ссылке.