Il nuovo strumento dannoso soprannominato skip-2.0 può essere utilizzato dagli aggressori per eseguire il backdoor dei server MSSQL Server 11 e 12, consentendo loro di connettersi a qualsiasi account sul server utilizzando una cosiddetta "password magica" e nascondere la loro attività dai registri di sicurezza .
"Questa backdoor consente all'aggressore non solo di ottenere persistenza nel server MSSQL della vittima attraverso l'uso di una password speciale, ma anche di non essere rilevato grazie ai molteplici meccanismi di pubblicazione degli eventi e dei log che sono disabilitati quando viene utilizzata quella password", afferma Mathieu Tartare ricercatore ESET.
Il gruppo Winnti è un termine generico usato come nome di un collettivo di gruppi di hacking sostenuti dallo stato cinese (seguito come Blackfly e Suckfly da Symantec, Wicked Panda da CrowdStrike, BARIUM da Microsoft, APT41 da FireEye) che condividono gli stessi strumenti dannosi che hanno in uso dal 2011.
Fu allora che Kaspersky trovò il Winnti Trojan degli hacker su un gran numero di sistemi di gioco compromessi dopo essere stato consegnato tramite il server di aggiornamento ufficiale di un gioco. Dopo aver analizzato la nuova backdoor, i ricercatori di ESET hanno anche scoperto che skip-2.0 condivide alcuni tratti con altri malware di Winnti Group, "in particolare con le backdoor di PortReuse e ShadowPad".
PortReuse, una backdoor modulare di Windows, è stata utilizzata dagli hacker Winnti in un attacco contro i server di un produttore asiatico di software e hardware mobile di alto profilo. Inoltre, PortReuse è "un impianto di rete che si immette in un processo che è già in ascolto su una porta di rete e attende che un pacchetto magico in entrata attivi il codice dannoso".
ShadowPad è un'altra backdoor Winnti utilizzata dal gruppo come parte di un attacco della catena di approvvigionamento del 2017 che ha colpito NetSarang, un produttore coreano di soluzioni di connettività di rete, quando il gruppo di hacking ha infettato con successo il software di gestione dei server dell'azienda con la backdoor. Tutte e tre le backdoor utilizzano lo stesso launcher VMProtected e il malware packer personalizzato del gruppo e, per finire, condividono anche molte altre somiglianze con molti altri strumenti associati alle operazioni passate del gruppo di minacce.
Una volta rilasciata su un server MSSQL già compromesso, la backdoor skip-2.0 procede a iniettare il suo codice dannoso all'interno del processo sqlserv.exe tramite sqllang.dll, collegando più funzioni utilizzate per la registrazione di un'autenticazione.
Ciò consente al malware di bypassare il meccanismo di autenticazione incorporato del server e quindi consentire ai suoi operatori di accedere anche se la password dell'account inserita non corrisponde.
"L'hook di questa funzione controlla se la password fornita dall'utente corrisponde alla password magica, in tal caso, la funzione originale non verrà chiamata e l'hook restituirà 0, consentendo la connessione anche se non è stata fornita la password corretta", afferma ESET.
"Abbiamo testato skip-2.0 su più versioni di MSSQL Server e abbiamo scoperto che siamo stati in grado di accedere correttamente utilizzando la password speciale solo con MSSQL Server 11 e 12", aggiunge Tartare.
"La backdoor skip-2.0 è un'interessante aggiunta all'arsenale del gruppo Winnti, condividendo molte somiglianze con il set di strumenti già noto del gruppo e consentendo all'attaccante di raggiungere la persistenza su un server MSSQL", conclude il team di ricerca di ESET.
"Considerando che sono richiesti i privilegi di amministratore per l'installazione degli hook, skip-2.0 deve essere usato su server MSSQL già compromessi per ottenere persistenza e invisibilità."