Взломан сервер BioWare

...

На официальном форуме BioWare 15 июня появилось сообщение администрации о том, что днем ранее был взломан один из серверов компании. Хакеры получили доступ к информации пользователей, зарегистрированных на старом форуме игры Neverwinter Nights.

Злоумышленники похитили данные о 18 тысячах аккаунтов, в том числе пароли, адреса электронной почты и даты рождения. Представители BioWare заверили, что номера кредитных карт и карт социального страхования хакерам получить не удалось, передает Lenta.ru.

По словам генерального менеджера BioWare Edmonton, сразу после атаки компания приняла все необходимые меры для дальнейшей защиты данных пользователей, но тем, чьи аккаунты, возможно, были взломаны, уже разосланы письма с рекомендацией поменять пароль.

Компания BioWare - не первый производитель игр, чьи сервера подверглись атаке в этом году. Так, в апреле 2011 хакеры взломали сервера PlaySation Network, одной из самых крупных игровых систем мира и похитили данные о банковских картах пользователей. На момент взлома в сети были зарегистрированы около 78 миллионов пользовательских учетных записей.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Хакеры используют встроенную в SQL Server утилиту для скрытной разведки

Специалисты Microsoft выявили новую вредоносную кампанию: злоумышленники взламывают серверы SQL и используют легитимную PowerShell-утилиту для закрепления в системе и проведения разведки. Атаки не оставляют следов в виде файлов, и действия хакеров долго остаются незамеченными.

Как сообщает The Hacker News со ссылкой на твиты Microsoft, для получения доступа к системе атакующие используют брутфорс, а затем инициируют запуск sqlps.exe, чтобы обеспечить себе постоянное присутствие. Новую угрозу эксперты классифицируют как трояна и нарекли ее SuspSQLUsage.

Утилита sqlps.exe по умолчанию включена в пакет SQL Server, чтобы можно было запустить агент SQL — Windows-службу для выполнения запланированных заданий средствами подсистемы PowerShell. Авторы атак используют эту PowerShell-оболочку для запуска командлетов, позволяющих провести разведку и изменить режим запуска SQL-сервиса на LocalSystem.

Эксперты также заметили, что тот же вредоносный модуль применяется для создания нового аккаунта в группе пользователей с ролью sysadmin. Такой трюк открывает возможность для захвата контроля над SQL-сервером.

Конечная цель текущих атак пока неизвестна, установить инициаторов тоже не удалось. Штатные средства Windows, в особенности PowerShell и WMI, любят использовать APT-группы, чтобы скрыть вредоносную активность в сети жертвы. Тактика известна как LotL, Living-off-the-Land; непрошеное вторжение при этом трудно выявить традиционными средствами: без непрерывного мониторинга работа легитимного инструмента не вызовет подозрений, сигнатурный анализ бесполезен — артефакты, способные насторожить антивирус, в LotL-атаках обычно отсутствуют.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru