Hacker'lar, GH0stcringing Uzaktan Erişim Trojans'ı savunmasız cihazlarda dağıtmak için kötü bir şekilde güvence altına alınmış Microsoft SQL ve MySQL veritabanı sunucularını hedefleyin.
GH0stcringge, Aka Cirenegrat, en son 2020 Çinli siber casusluk operasyonunda konuşlandırılan bir GH0st Sıçan Kötü amaçlı yazılım varyantıdır, ancak 2018 yılı kadar geri kalan tarihler.
Günümüzde Siber Güvenlik Firması Ahnlab tarafından yeni bir raporda, araştırmacılar Ghostcringe'in arkasındaki tehdit aktörlerinin zayıf hesap kimlik bilgileri ve gözetimi olmayan kötü güvenli teminat veritabanı sunucularını nasıl hedef alıyor?
Aşağıda gördüğünüz gibi, tehdit aktörleri veritabanı sunucularını ihlal ediyor ve Mysqld.exe, mysqld-nt.exe ve sqlserver.exe süreçlerini kullanarak kötü niyetli 'mcsql.exe' yürütülebilir dosyaya yazmak için.
Bu saldırılar, Microsoft SQL XP_CMDSHELL komutunu kullanarak Kobalt Strike Beachons'u düşüren Microsoft SQL Server saldırılarına benzer.
GH0stcringge'in yanı sıra, Ahnlab'ın raporu, incelenen sunuculardaki birden fazla kötü amaçlı yazılım örneğinin varlığını, rekabetçi tehdit aktörlerinin, aynı sunucuları kendi kampanyaları için harcamaları için aynı sunucuları ihlal ettiğini gösteriyor.
GH0stCRINGE sıçan, C2 sunucusuyla özel komutlar almak için veya rakipler için çalınan bilgiyi elde etmek için bir bağlantı kuran güçlü bir kötü amaçlı yazılımdır.
Kötü amaçlı yazılım, aşağıda ayrıntılı olarak, işlevleriyle ilgili belirli ayarlarla yapılan dağıtım sırasında yapılandırılabilir:
Yukarıdakilerin, Keylogger, belki de en agresif bileşendir, çünkü bu, kullanıcı girişlerini tehlikeye atılan sistemden çalınır.
Keylogging bileşeni, her anahtarın durumunu sonsuz bir döngü boyunca sorgulamak için Windows Yoklama yöntemini (GetAsynCeyState API) kullanır.
Bu, aksi takdirde güvenilir günlük yöntemi, şüpheli yüksek CPU kullanımı riskini tanıtıyor, ancak kötü yönetilen sunucularda, bu, tehdit aktörlerine sorunlara neden olmanın olası değildir.
Kötü amaçlı yazılımlar, son üç dakika için anahtar baskıları da izler ve Malware'in komuta ve kontrol sunucularına temel sistem ve ağ bilgileriyle gönderir.
Bu kayıtlı tuş vuruşları, tehdit aktörlerinin, cihaza girilen kullanıcıların giriş yaptığı kimlik bilgilerini ve oturum açan diğer hassas bilgileri çalmasını sağlar.
Cirenegrat, dağıtım sırasında tehdit oyuncusu tarafından seçilen 0, 1, 2, yani 0, 1, 2 ve özel bir Windows 10 modunu desteklemektedir.
Modlar, Windows kayıt defterinin modifikasyonu ve kendi kendine kopyalama modülünün etkinleştirilmesiyle kalıcılığın nasıl oluşturulduğunu yapılandırır. Örneğin, mod # 0 kalıcılığı olmadan çalışırken, mod # 2, mod # 2, kalıcılık kurar ve kendi kendine kopyalama ayarlarını düşünür.
Rat tarafından desteklenen uzak komutlara gelince, bunlar aşağıdakilerde toplanır:
İlk önce, sunucu yazılımınızı, bilinen güvenlik açıklarından yararlanan bir dizi saldırıyı dışlamaya yardımcı olan en yeni güvenlik güncellemelerini uygulamak için güncelleyin.
Ayrıca tahmin edilmesi zor olan güçlü bir yönetici şifresini kullanmak da önemlidir.
En önemli adım, veritabanı sunucusunu yalnızca yetkili cihazların sunucuya erişmesini sağlayan bir güvenlik duvarı arkasına yerleştirmektir.
Son olarak, şüpheli keşif aktivitesini tanımlamak için tüm eylemleri izleyin ve veri işlemi ilkesi incelemesi için bir veri erişim denetleyicisi kullanın.
Rusya-Ukrayna Savaşı, kötü amaçlı yazılım dağıtım için yem olarak sömürüldü
Kötü Amaçlı Yazılım Kampanyası, Siteleri satın almak isteyen VC firmasını taklit eder.
Microsoft: Ukrayna, işgal öncesi Foxblade kötü amaçlı yazılım saatleriyle vurdu.
Kobalt grevi ile hedeflenen savunmasız Microsoft SQL sunucuları
Alman Govt APT27 Hacker'ların Backdooring Business Network'lerini uyardı
Kaynak: Bleeping Computer