ΑρχικήSecurityWinnti backdoor για επιθέσεις σε server Microsoft SQL

Winnti backdoor για επιθέσεις σε server Microsoft SQL

Winnti: Η ομάδα ερευνητών της ESET ανέλυσε ένα δείγμα από ένα νέο backdoor, που οι δημιουργοί του έχουν ονομάσει skip-2.0.

Όπως ανακαλύφθηκε πρόσφατα, το backdoor προστέθηκε στο οπλοστάσιο της περιβόητης ομάδας κυβερνοκατασκοπείας Winnti. Συγκεκριμένα, το skip-2.0 επιτίθεται στο MSSQL Server 11 και 12, επιτρέποντας στους εισβολείς να συνδεθούν σε οποιονδήποτε λογαριασμό MSSQL με έναν ειδικό κωδικό πρόσβασης, κρύβοντας αυτόματα αυτές τις συνδέσεις από τα αρχεία καταγραφής. Winnti

Ένα τέτοιο backdoor θα μπορούσε να επιτρέψει σε έναν εισβολέα να αντιγράψει, να τροποποιήσει ή να διαγράψει περιεχόμενο από τις βάσεις δεδομένων. Αυτή η δυνατότητα θα μπορούσε να χρησιμοποιηθεί, για παράδειγμα, για την κατάχρηση νομισμάτων σε παιχνίδια με στόχο το οικονομικό όφελος.

Είναι γνωστό ότι στο παρελθόν, οι κυβερνοεγκληματίες της ομάδας Winnti είχαν εμπλακεί σε κακόβουλες ενέργειες σχετικές με βάσεις δεδομένων νομισμάτων σε παιχνίδια.

#secnews #europol 

Η Europol και οι αρχές επιβολής του νόμου από εννέα χώρες εξάρθρωσαν τη "Ghost", μια πλατφόρμα κρυπτογραφημένων επικοινωνιών, η οποία χρησιμοποιούνταν από εγκληματίες για διακίνηση ναρκωτικών, ξέπλυμα βρώμικου χρήματος και άλλες παράνομες δραστηριότητες.

Η πλατφόρμα Ghost διέθετε προηγμένες λειτουργίες ασφάλειας και ανωνυμοποίησης, επιτρέποντας την αγορά συνδρομών με κρυπτονομίσματα. Προσέφερε τρία επίπεδα κρυπτογράφησης και ένα σύστημα αυτοκαταστροφής μηνυμάτων, το οποίο εξαφάνιζε μηνύματα και ύποπτα στοιχεία από τις συσκευές των αποστολέων και των παραληπτών.

Μάθετε περισσότερα: https://www.secnews.gr/620188/europol-eksarthrothike-platforma-epikoinonion-ghost/

00:00 Εισαγωγή
00:16 Πληροφορίες για την πλατφόρμα Ghost 
00:57 Έρευνα, εξάρθρωση, συλλήψεις
01:43 Κρυπτογραφημένες επικοινωνίες και προκλήσεις
02:05 Σημασία εξάρθρωσης

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #europol

Η Europol και οι αρχές επιβολής του νόμου από εννέα χώρες εξάρθρωσαν τη "Ghost", μια πλατφόρμα κρυπτογραφημένων επικοινωνιών, η οποία χρησιμοποιούνταν από εγκληματίες για διακίνηση ναρκωτικών, ξέπλυμα βρώμικου χρήματος και άλλες παράνομες δραστηριότητες.

Η πλατφόρμα Ghost διέθετε προηγμένες λειτουργίες ασφάλειας και ανωνυμοποίησης, επιτρέποντας την αγορά συνδρομών με κρυπτονομίσματα. Προσέφερε τρία επίπεδα κρυπτογράφησης και ένα σύστημα αυτοκαταστροφής μηνυμάτων, το οποίο εξαφάνιζε μηνύματα και ύποπτα στοιχεία από τις συσκευές των αποστολέων και των παραληπτών.

Μάθετε περισσότερα: https://www.secnews.gr/620188/europol-eksarthrothike-platforma-epikoinonion-ghost/

00:00 Εισαγωγή
00:16 Πληροφορίες για την πλατφόρμα Ghost
00:57 Έρευνα, εξάρθρωση, συλλήψεις
01:43 Κρυπτογραφημένες επικοινωνίες και προκλήσεις
02:05 Σημασία εξάρθρωσης

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

1

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LkVYMmtleXdBU0dB

Europol: Εξάρθρωσε την πλατφόρμα Ghost - Σύλληψη εγκληματιών

SecNewsTV 111 minutes ago

«Το συγκεκριμένο backdoor επιτρέπει στον εισβολέα να παραμείνει ανθεκτικό μέσα στο MSSQL server του θύματος μέσω της χρήσης ενός ειδικού κωδικού πρόσβασης, και, παράλληλα, αόρατο, χάρη στους μηχανισμούς multiple log και event publishing, που απενεργοποιούνται όταν χρησιμοποιείται αυτός ο κωδικός πρόσβασης», εξηγεί ο ερευνητής της ESET Mathieu Tartare, που συμμετείχε στις έρευνες για την ομάδα Winnti.

Δοκιμάσαμε το skip-2.0 σε πολλές εκδόσεις του MSSQL Server και διαπιστώσαμε ότι μπορούσαμε να συνδεθούμε με επιτυχία χρησιμοποιώντας τον ειδικό κωδικό πρόσβασης μόνο με τους MSSQL Server 11 και 12. Παρόλο που οι MSSQL Server 11 και 12 δεν είναι οι πιο πρόσφατες εκδόσεις, είναι οι πιο συνηθισμένες», προσθέτει ο Tartare.
Η ESET έχει παρατηρήσει πολλές ομοιότητες μεταξύ του skip-2.0 και άλλων γνωστών εργαλείων από το οπλοστάσιο της ομάδας Winnti, όπως ένα launcher VMPprotected, το custom packer του και ένα Inner-Loader injector που χρησιμοποιούν την ίδια διαδικασία hooking. «Λόγω αυτού συμπεραίνουμε ότι το skip-2.0 ανήκει επίσης σε αυτή την εργαλειοθήκη.

.
Οι ερευνητές της ESET παρακολουθούσαν για αρκετό καιρό τις δραστηριότητες της Winnti. Η ομάδα δραστηριοποιείται τουλάχιστον από το 2012 και της καταλογίζονται οι υψηλού προφίλ επιθέσεις «supply-chain» κατά της βιομηχανίας βιντεοπαιχνιδιών και λογισμικού. Η ESET δημοσίευσε πρόσφατα σχετικό white paper με περισσότερες πληροφορίες για το οπλοστάσιο της ομάδας Winnti και παρουσιάζει για πρώτη φορά ένα backdoor που ονομάζεται PortReuse.

Περισσότερες τεχνικές λεπτομέρειες βρίσκονται στο άρθρο «Winnti Group’s skip-2.0: a Microsoft SQL Server backdoor» σχετικά με τις λειτουργίες αυτού του backdoor, καθώς και τις ομοιότητες με το γνωστό οπλοστάσιο της ομάδας Winnti – ειδικότερα με τα backdoor PortReuse και ShadowPad.

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS

«Το Twitter επέστρεψε» στη Βραζιλία!