De Skip-2.0-malware is een gevaarlijke bedreiging die wordt gelanceerd door een hack groep die bekend staat als Winnti. Deze hackers worden aangeduid als een mega-collectief als een aantal kleinere hacking groepen gebruiken deze naam om zich te identificeren. De criminelen worden met behulp van een malware genaamd Skip-2.0 om binnen te dringen op Microsoft SQL-servers die de macht databases van bedrijven en groepen.
Microsoft SQL Servers aangevallen door Winnti Hakkers Met Skip-2.0 Malware
Een security rapport toont aan dat een nieuwe wereldwijde aanval wordt gelanceerd door de beruchte Winnti hacken groep. Dit is een “overkoepelende groep” wat betekent dat een aantal kleinere crimineel facties gebruiken om zich te identificeren met haar. De groep gebruikt een speciaal gevaar om de beoogde gastheer infecteren. De Skip-2.0 malware die de belangrijkste bedreiging in kwestie is ontworpen om een backdoor in een geïnstalleerde Microsoft SQL server instances creëren. De techniek in kwestie is gebaseerd op een kwetsbaarheid in de server hosts waarbij malware verbindingen kunnen de opgeslagen gegevens met behulp van “magic wachtwoordtekenreeks”. Dit is een soort van backdoor die in de toepassingen steunt op een softwareprobleem, specifiek versies 11 en 12.
In vergelijking met vorige instrumenten die worden gebruikt door de hackers de beveiliging onderzoekers constateren dat er verschillende gelijkenissen met eerdere instrumenten die worden gebruikt door de hackers. Een modulaire aanpak is gebruikt om de gevaarlijke gereedschap bouwen - dit betekent dat veel van de bijbehorende modules kunnen worden gebruikt bij deze aanval ook. Een van de instrumenten in kwestie heet PortReuse en het is een netwerk hacking tool die bekend staat om verschillende versies hebben. Het kan diensten sonde die op verschillende poorten, waaronder webservers, remote desktop clients en etc. Een aantal van de mogelijkheden die beschikbaar zijn in deze zijn waarschijnlijk ook verkrijgbaar in de Skip-2.0 malware:
- Bestanden downloaden en Execution - De malware motor kan worden geprogrammeerd om op te halen en bestanden uit te voeren vanuit een hacker gecontroleerde locatie.
- Werkwijze Creatie en Hookup - Niet alleen de motor zal draaien op een voorgeschreven wijze, maar het kan ook aansluiting naar andere draaien van programma's en diensten en daarmee kapen informatie en de acties die door de gebruikers.
- Remote Trojan Connection - Een van de belangrijkste doelstellingen van dergelijke bedreigingen is om een veilige verbinding met een hacker gecontroleerde server vast te stellen. Een dergelijke verbinding kan de externe aanvallers de controle over de geïnfecteerde computers te nemen, bespioneren de slachtoffers en installeer andere bedreigingen.
Een verschillende fasen infectie maakt het mogelijk dat de malware motor en alle bijbehorende modules om een deel van de beveiliging tegenmaatregelen die in de plaats te omzeilen. De onderzoekers constateren dat de Skip-2.0 vereist administratieve privileges om te lopen wat betekent dat het doel van Microsoft SQL-servers moeten worden gehackt door andere middelen voordat het kan worden ingezet.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: