SolarWinds é vendida por US$ 4,4 bilhões

CISA publica sete alertas para sistemas de controle industrial

PayPal é multado por ter exposto dados de clientes em 2022

Arquivo Nacional sofre ataque na página do Prêmio Memórias Reveladas

Fundador do marketplace Silk Road é perdoado de prisão perpétua

TikTok sai do ar no EUA por decisão judicial

[ 225,106 page views, 104,394 usuários nos últimos 30 dias ] - [ 5.992 assinantes na newsletter, taxa de abertura 27% ]
Pesquisar
Forensics, Malware & Ameaças

Grupo chinês implanta backdoor em MS SQL

Depois de implantar o backdoor, basta usar uma senha especial para ter acesso ao servidor utilizando qualquer conta

O grupo de hackers chineses Winnti, conhecido por suspeitas de espionar para o governo do seu País, desenvolveu um backdoor para ter acesso permanente a servidores MSSQL Server 11 e 12. A descoberta foi feita por pesquisadores da ESET e publicada hoje. Esse artifício permite que o invasor se conecte furtivamente a qualquer conta MSSQL usando uma senha “mágica”, ao mesmo tempo ocultando sua conexão para que não apareça nos logs. Usando o backdoor, qualquer pessoa pode agir sobre o conteúdo do banco de dados, seja para copiar, modificar ou excluir dados. Até onde se sabe, esse backdoor, o skip-2.0, é o primeiro do MSSQL Server a ser documentado publicamente. Embora as versões 11 e 12 não sejam as mais recentes (foram lançadas em 2012 e 2014, respectivamente), elas ainda são as mais usadas até hoje, de acordo com os dados do portal Censys.

Segundo a ESET, seus pesquisadores vêm acompanhando as atividades do Grupo Winnti desde 2012. O grupo é responsável por ataques pesados e graves na cadeia de suprimentos, contra a indústria de videogames e software. O backdoor descoberto agora possui várias semelhanças com o PortReuse, outra ferramenta utilizada pelo Winnti Group e já documentada pela ESET. O grupo Winnti foi descoberto pela Kaspersky em 2013. Os pesquisadores que fizeram a descoberta supõem que a gangue atua desde 2007, e que na verdade a sigla Winnti serve para designar vários grupos, como o próprio Winnti, mas também outros como Gref, PlayfullDragon, APT17, DeputyDog, Axiom, BARIUM, LEAD, PassCV, Wicked Panda e ShadowPad.

Os especialistas da ESET também mencionaram que o malware skip-2.0 possui algumas semelhanças com o PortReuse e o ShadowPad, dois backdoors anteriormente usados pelo Winnti. Nas campanhas anteriores de ataque cibernético, esses backdoors foram usadas para infectar os servidores de um grande fabricante de software e hardware para dispositivos móveis.

Quando a carga maliciosa é descartada no servidor MSSQL comprometido, o backdoor começa a injetar o código no processo sqlserv.exe usando algumas funções usadas para registrar uma autenticação. Dessa maneira, ele ignora o mecanismo de autenticação do servidor MSSQL, permitindo a entrada de agentes externos, independentemente de a senha da conta inserida não estar correta.

Com agências internacionais

Posts Patrocinados

Últimas notícias

Assine a nossa Newsletter

Cancelar Inscrição

Assine a nossa Newsletter

Cancelar Inscrição