กลุ่มแฮกเกอร์ Winnti Group ที่เริ่มปฏิบัติการมาตั้งแต่ปี 2012 มีเป้าหมายเป็นองค์กรที่มีชื่อเสียง ผู้พัฒนาเกมส์และซอฟต์แวร์ ล่าสุดนักวิจัยขของ ESET พบ backdoor ที่โจมตี Microsoft SQL (MSSQL) ที่ทำให้แฮกเกอร์สามารถแทรกซึมเขขข้าองค์กร
backdoor ตัวดังกล่าวชื่อ skip-2.0 เป็นผลงานของกลุ่ม Winnti ซึ่งทำให้แฮกเกอร์สามารถคัดลอก ดัดแปลง หรือลบข้อมูลในฐานข้อมูล สามารถใช้งานได้อย่างเช่น แก้ไขข้อมูลในเกมส์เพื่อแลกเปลี่ยนกับเงิน
Indicators of Compromise (IoCs)
| Component | SHA-1 | ESET detection name |
|---|
| VMP Loader | 18E4FEB988CB95D71D81E1964AA6280E22361B9F
4AF89296A15C1EA9068A279E05CC4A41B967C956 | Win64/Packed.VMProtect.HX |
| Inner-Loader injector | A2571946AB181657EB825CDE07188E8BCD689575 | Win64/Injector.BS |
| skip-2.0 | 60B9428D00BE5CE562FF3D888441220290A6DAC7 | Win32/Agent.SOK |
| Known targeted sqllang.dll files (non-exhaustive list) | 4396D3C904CD340984D474065959E8DD11915444
BE352631E6A6A9D0B7BBA9B82D910FA5AB40C64E
D4ADBC3F77ADE63B836FC4D9E5915A3479F09BD4
0BBD3321F93F3DCDD2A332D1F0326142B3F4961A
FAE6B48F1D6EDDEC79E62844C444FE3955411EE3
A25B25FFA17E63C6884E28E96B487F58DF4502E7
DE76419331381C390A758E634BF2E165A42D4807
ED08E9B4BA6C4B5A1F26D671AD212AA2FB0874A2
1E1B0D91B37BAEBF77F85D1B7C640B8CC02FE11A
59FB000D36612950FEBC36004F1317F7D000AA0B
661DA36BDD115A1E649F3AAE11AD6F7D6FF2DB63 | N/A |
Author: Mathieu Tartare
Source: https://www.welivesecurity.com/2019/10/21/winnti-group-skip2-0-microsoft-sql-server-backdoor/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
กลุ่มแฮกเกอร์ Winnti Group ที่เริ่มปฏิบัติการมาตั้งแต่ปี 2012 มีเป้าหมายเป็นองค์กรที่มีชื่อเสียง ผู้พัฒนาเกมส์และซอฟต์แวร์ ล่าสุดนักวิจัยขของ ESET พบ backdoor ที่โจมตี Microsoft SQL (MSSQL) ที่ทำให้แฮกเกอร์สามารถแทรกซึมเขขข้าองค์กร
backdoor ตัวดังกล่าวชื่อ skip-2.0 เป็นผลงานของกลุ่ม Winnti ซึ่งทำให้แฮกเกอร์สามารถคัดลอก ดัดแปลง หรือลบข้อมูลในฐานข้อมูล สามารถใช้งานได้อย่างเช่น แก้ไขข้อมูลในเกมส์เพื่อแลกเปลี่ยนกับเงิน
Indicators of Compromise (IoCs)
4AF89296A15C1EA9068A279E05CC4A41B967C956
BE352631E6A6A9D0B7BBA9B82D910FA5AB40C64E
D4ADBC3F77ADE63B836FC4D9E5915A3479F09BD4
0BBD3321F93F3DCDD2A332D1F0326142B3F4961A
FAE6B48F1D6EDDEC79E62844C444FE3955411EE3
A25B25FFA17E63C6884E28E96B487F58DF4502E7
DE76419331381C390A758E634BF2E165A42D4807
ED08E9B4BA6C4B5A1F26D671AD212AA2FB0874A2
1E1B0D91B37BAEBF77F85D1B7C640B8CC02FE11A
59FB000D36612950FEBC36004F1317F7D000AA0B
661DA36BDD115A1E649F3AAE11AD6F7D6FF2DB63
Author: Mathieu Tartare
Source: https://www.welivesecurity.com/2019/10/21/winnti-group-skip2-0-microsoft-sql-server-backdoor/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: