Gh0stCringe RAT vizează serverele de baze de date în atacuri recente

Cercetătorii în domeniul securității au identificat o serie de atacuri RAT Gh0stCringe recente care vizează serverele de baze de date MS-SQL și MySQL cu scopul de a colecta credențiale și a exfiltra date.

Observat pentru prima dată în 2018, malware-ul se bazează pe codul sursă Gh0st RAT făcut public și vizează serverele slab securizate, spun cercetătorii de la AhnLab Security Emergency Response Center (ASEC).

Analiza malware-ului arată că părți din codul sursă al Gh0st RAT au fost folosite fără modificări, însă majoritatea codului Gh0stCringe este unic, ceea ce îl diferențiază de variantele normale.

Denumit, de asemenea, CirenegRAT, Gh0stCringe a fost găsit pe mașini infectate anterior cu Vollgar CoinMiner și cu alte programe malware.

Malware-ul a fost conceput să se conecteze la un server de comandă și control (C&C) și să efectueze diverse acțiuni pe baza instrucțiunilor primite de la operatorii săi.

Programul malware se poate copia în anumite locații de pe mașină, lansează un keylogger, poate închide anumite procese și dispune de mai multe moduri de execuție (pentru a obține sau nu persistență).

Pe sistemul infectat malware-ul colectează și exfiltrează informații despre sistem, inclusiv adresa IP, numele gazdei și soluțiile de securitate instalate, dar și activitatea din ultimele trei minute.

Pe baza comenzilor primite de la C&C, malware-ul poate descărca payload-uri suplimentare, se poate conecta la un anumit site web, poate obține credențialele utilizatorului și datele din clipboard și poate colecta informații despre fișiere legate de Tencent. Mai mult, Gh0stCringe poate distruge MBR-ul, ceea ce face ca mașina să nu mai poată fi utilizată.

Malware-ul se poate actualiza și dezinstala singur, poate înregistra Run Key, poate opri sau reporni mașina, poate scana sistemul pentru procese specifice, afișa mesaje pop-up și instala module suplimentare.

Serverele de baze de date sunt în mod obișnuit ținta unor atacuri de tip brute force și de tip dicționar și doar rareori sunt exploatate folosind vulnerabilități cunoscute.

Administratorii sunt sfătuiți să își securizeze întotdeauna serverele folosind parole complexe și greu de ghicit și să se asigure că sunt instalate cele mai recente patch-uri, pentru a preveni compromiterea. În plus, administratorii sunt sfătuiți să instaleze și să mențină soluții de securitate, cum ar fi firewall-urile, pentru toate bazele de date accesibile din exterior.

Sursa: https://www.securityweek.com/gh0stcringe-rat-targeting-database-servers-recent-attacks