Skip-2.0マルウェアは、Winntiとして知られるハッキンググループによって開始されている危険な脅威です。. これらのハッカーは、いくつかの小さなハッキンググループがこの名前を使用して自分自身を識別するため、メガコレクティブと呼ばれます。. 犯罪者は、企業やグループのデータベースを強化するMicrosoft SQL Serverに侵入するために、Skip-2.0と呼ばれるマルウェアを使用しています。.
Skip-2.0マルウェアでWinntiハッカーに攻撃されたMicrosoftSQLServer
セキュリティレポートは、悪名高いWinntiハッキンググループによって新しいグローバル攻撃が開始されていることを示しています. これは “アンブレラグループ” これは、いくつかの小さな刑事派閥がそれを使用して自分自身を識別していることを意味します. このグループは、標的のホストに感染するために特別に作られた脅威を使用しています. 問題の主な脅威であるSkip-2.0マルウェアは、インストールされているMicrosoftSQLサーバーインスタンスにバックドアを作成するように設計されています. 問題の手法は、 サーバーホストの脆弱性 マルウェア接続は、を使用して保存されたデータにアクセスできます “魔法のパスワード文字列”. これは、アプリケーションのソフトウェアの問題に依存するタイプのバックドアです。, 具体的にはバージョン 11 と 12.
関連している: CVE-2017-11882: エージェントテスラマルウェアはフィッシング技術を活用します
ハッカーが使用していた以前のツールと比較すると、セキュリティ研究者は、ハッカーが使用していた以前のツールといくつかの類似点があることに気づきました。. 危険なツールを構築するためにモジュラーアプローチが使用されています—これは、関連するモジュールの多くがこの攻撃でも使用できることを意味します. 問題のツールの1つはと呼ばれます PortReuse そしてそれはいくつかの異なるバージョンを持っていることが知られているネットワークハッキングツールです. Webサーバーを含むさまざまなポートで実行されているサービスをプローブできます, リモートデスクトップクライアントなど. その中で利用可能な機能のいくつかは、おそらくSkip-2.0マルウェアでも利用可能です:
- ファイルのダウンロードと実行 —マルウェアエンジンは、ハッカーが制御する場所からファイルを取得して実行するようにプログラムできます。.
- プロセスの作成と接続 —エンジンが所定の方法で作動するだけではありません, ただし、実行中の他のアプリやサービスに接続して、ユーザーが実行する情報やアクションを乗っ取る可能性もあります。.
- リモートトロイの木馬接続 —このような脅威の主な目標の1つは、ハッカーが制御するサーバーへの安全な接続を確立することです。. このような接続により、リモートの攻撃者が感染したコンピューターの制御を乗っ取ることができます。, 犠牲者をスパイし、他の脅威をインストールします.
A いくつかの段階の感染 マルウェアエンジンと関連するすべてのモジュールが、実施されているセキュリティ対策の一部を回避できるようにします. 研究者は、Skip-2.0を実行するには管理者権限が必要であることに注意しています。つまり、ターゲットのMicrosoft SQL Serverを展開する前に、他の手段でハッキングする必要があります。.