Malware

Skip-2.0 ของ Winnti: backdoor ของ Microsoft SQL Server

backdoor ใหม่เครื่องมือของกลุ่มแฮกเกอร์โจมตีแพลตฟอร์มเกมส์

กลุ่มแฮกเกอร์ Winnti Group ที่เริ่มปฏิบัติการมาตั้งแต่ปี 2012 มีเป้าหมายเป็นองค์กรที่มีชื่อเสียง ผู้พัฒนาเกมส์และซอฟต์แวร์ ล่าสุดนักวิจัยขของ ESET พบ backdoor ที่โจมตี Microsoft SQL (MSSQL) ที่ทำให้แฮกเกอร์สามารถแทรกซึมเขขข้าองค์กร

backdoor ตัวดังกล่าวชื่อ skip-2.0 เป็นผลงานของกลุ่ม Winnti ซึ่งทำให้แฮกเกอร์สามารถคัดลอก ดัดแปลง หรือลบข้อมูลในฐานข้อมูล สามารถใช้งานได้อย่างเช่น แก้ไขข้อมูลในเกมส์เพื่อแลกเปลี่ยนกับเงิน

Indicators of Compromise (IoCs)

ComponentSHA-1ESET detection name
VMP Loader18E4FEB988CB95D71D81E1964AA6280E22361B9F
4AF89296A15C1EA9068A279E05CC4A41B967C956
Win64/Packed.VMProtect.HX
Inner-Loader injectorA2571946AB181657EB825CDE07188E8BCD689575Win64/Injector.BS
skip-2.060B9428D00BE5CE562FF3D888441220290A6DAC7Win32/Agent.SOK
Known targeted sqllang.dll files (non-exhaustive list)4396D3C904CD340984D474065959E8DD11915444
BE352631E6A6A9D0B7BBA9B82D910FA5AB40C64E
D4ADBC3F77ADE63B836FC4D9E5915A3479F09BD4
0BBD3321F93F3DCDD2A332D1F0326142B3F4961A
FAE6B48F1D6EDDEC79E62844C444FE3955411EE3
A25B25FFA17E63C6884E28E96B487F58DF4502E7
DE76419331381C390A758E634BF2E165A42D4807
ED08E9B4BA6C4B5A1F26D671AD212AA2FB0874A2
1E1B0D91B37BAEBF77F85D1B7C640B8CC02FE11A
59FB000D36612950FEBC36004F1317F7D000AA0B
661DA36BDD115A1E649F3AAE11AD6F7D6FF2DB63
N/A

Author: Mathieu Tartare
Source: https://www.welivesecurity.com/2019/10/21/winnti-group-skip2-0-microsoft-sql-server-backdoor/
Translated by: Worapon H.

%d bloggers like this: