Дослідження ESET: бекдор групи Winnti атакує користувачів Microsoft SQL

Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення нового бекдора, націленого на Microsoft SQL (MSSQL), який поширювала відома група кіберзлочинців Winnti. Варто зазначити, що зловмисники активні щонайменше з 2012 року та відомі атаками на ланцюг постачання ігрової індустрії.

Новий бекдор під назвою skip-2.0 був виявлений спеціалістами ESET на початку цього року. Зокрема загроза може приховано підключатися до будь-якого облікового запису MSSQL за допомогою спеціального пароля, при цьому автоматично приховувати з'єднання від журналів. Крім цього, кіберзлочинці мають змогу приховано копіювати, змінювати чи видаляти вміст бази даних. Таким чином зловмисники зможуть здійснювати шахрайські операції з валютами в іграх з метою отримання фінансової вигоди. Як повідомляють спеціалісти ESET, шкідливе програмне забезпечення skip-2.0 вважається першим відомим бекдором, націленим на MSSQL Server. Варто зауважити, що цілями зловмисників стали 11 та 12 версії MSSQL Server (випущені у 2012 та 2014 роках відповідно).

Бекдор skip-2.0 копіює, змінює та видаляє бази даних з серверів - спеціалісти ESET.

«Цей бекдор може перебувати в системі жертви непоміченим за допомогою спеціального пароля, а також незважаючи на механізми публікації журналів та подій, які вимкнені під час використання цього пароля, — пояснюють дослідники ESET. — Протестувавши шкідливий інструмент skip-2.0 на декількох версіях MSSQL Server, ми змогли проникнути в систему MSSQL Server 11 і 12, використовуючи спеціальний пароль. Попри те, що 11 та 12 версії не є останніми, вони вважаються найпоширенішими».

Подібність бекдора з попередніми інструментами групи Winnti

Варто зазначити, що спеціалісти ESET зафіксували багато подібностей функціоналу у skip-2.0 та інших інструментах групи Winnti, а саме бекдорах PortReuse та ShadowPad. Зокрема, загроза skip-2.0 використовує модуль запуску VMProtected launcher з його унікальним пакувальником та Inner-Loader injector з технологією підключення. Це ще раз підтверджує зв’язок виявленого бекдора з групою кіберзлочинців Winnti.

Детальніша інформація про загрозу та ідентифікатори компрометації доступні за посиланням.