Po útokoch na herných vývojárov a možný útok na CCleaner sa čínska skupina Winnti Group zamerala na databázové systémy od Microsoftu. Výskumníkom zo spoločnosti ESET sa podarilo objaviť doposiaľ neznáme zadné dvierka, ktoré útočníci inštalujú na servery s Microsoft SQL (MSSQL). Pomenovali ich skip-2.0 a útočníkom dovoľuje manipulovať s peniazmi v hrách.
Vzorku malvéru získali počas hľadania launcheru, ktorý systémy infikuje známymi backdoormi PortReuse a ShadowPad. Zistili, že primárne sa zameriava na MSSQL Server 11 a 12. Tie síce nie sú najnovšími verziami (vydané v roku 2012, resp. 2014), ale v súčasnosti sú najpoužívanejšie. Skip-2.0 umožní útočníkom získať nepozorovaný prístup do akéhokoľvek MSSQL účtu s použitím čarovného hesla. To znamená, že na prihlásenie nepotrebujú používateľské meno a heslo. Vďaka tomu môžu vyhľadávať, kopírovať, upravovať či dokonca mazať obsah databáz.
Zadné dvierka by skupina mohla využiť napríklad na manipulovanie s hernými peniazmi. Robila tak už pred niekoľkými rokmi, kedy útočila na spoločnosti z Južnej Kórey. Podľa ESETu sú skip-2.0 prvé verejne zdokumentované zadné dvierka zamerané na MSSQL. S predchádzajúcimi nástrojmi PortReuse a ShadowPad, ktoré skupina využívala, ich spája vlastný baliaci program (tzv. packer) a launcher, ktorého zdrojový kód zamaskovali nástrojom VMProtect.
Zdroj: Cybersec