Κακόβουλοι χρήστες στοχεύουν διακομιστές βάσεων δεδομένων Microsoft SQL και MySQL, για να αναπτύξουν το trojan απομακρυσμένης πρόσβασης Gh0stCringe σε ευάλωτες συσκευές.
Δείτε επίσης: MySQL: Αντικαθιστά όρους που ενισχύουν τις φυλετικές διακρίσεις
Το Gh0stCringe, γνωστό και ως CirenegRAT, είναι μια παραλλαγή του κακόβουλου λογισμικού Gh0st RAT που αναπτύχθηκε πιο πρόσφατα σε κινεζικές επιχειρήσεις κυβερνοκατασκοπείας το 2020, αλλά χρονολογείται από το 2018.
Σύμφωνα με την εταιρεία κυβερνοασφάλειας AhnLab, οι ερευνητές περιγράφουν πώς οι παράγοντες απειλών πίσω από το GhostCringe στοχεύουν μη ασφαλείς διακομιστές βάσεων δεδομένων με αδύναμα διαπιστευτήρια λογαριασμού και χωρίς επίβλεψη.
Οι κακόβουλοι παράγοντες παραβιάζουν τους διακομιστές και χρησιμοποιούν τις διεργασίες mysqld.exe, mysqld-nt.exe και sqlserver.exe για να γράψουν το κακόβουλο εκτελέσιμο «mcsql.exe» στο δίσκο.
Αυτές οι επιθέσεις είναι παρόμοιες με τις επιθέσεις διακομιστή Microsoft SQL που εντοπίστηκαν τον περασμένο Φεβρουάριο, οι οποίες έριξαν τα beacons Cobalt Strike.
Εκτός από το Gh0stCringe, η έρευνα της AhnLab αναφέρει επίσης την παρουσία πολλαπλών δειγμάτων κακόβουλου λογισμικού στους εξεταζόμενους διακομιστές, υποδεικνύοντας ότι ανταγωνιστικοί φορείς απειλών παραβιάζουν τους ίδιους διακομιστές για να ρίξουν ωφέλιμα φορτία για τις δικές τους καμπάνιες.
Το Gh0stCringe RAT είναι ένα ισχυρό κακόβουλο λογισμικό που δημιουργεί μια σύνδεση με τον διακομιστή C2 για τη λήψη προσαρμοσμένων εντολών ή τη διείσδυση σε κλεμμένες πληροφορίες.
Δείτε ακόμα: Η κινεζική ομάδα hackers APT-27 ξεκίνησε 15.000 επιθέσεις σε MySQL Servers
Το κακόβουλο λογισμικό μπορεί να διαμορφωθεί κατά την ανάπτυξη με συγκεκριμένες ρυθμίσεις που αφορούν τις λειτουργίες του, όπως:
- Αυτοαντιγραφή
- Τρόπος εκτέλεσης
- Αλλαγή μεγέθους αρχείου
- Τεχνική διακοπής της ανάλυσης
- Keylogger
- Τερματισμός διαδικασίας Rundll32
- Ιδιότητα αρχείου αυτοαντιγραφής
Από τα παραπάνω, το keylogger είναι ίσως το πιο επιθετικό στοιχείο, καθώς αυτό είναι που κλέβει τις εισροές των χρηστών από το παραβιασμένο σύστημα.
Δείτε επίσης: Η Microsoft μετατρέπει τα Teams και Outlook σε εργαλεία φιλικά προς την υβριδική εργασία
Πώς θα προστατευτείτε
Αρχικά, ενημερώστε το λογισμικό του διακομιστή σας για να εφαρμόσετε τις πιο πρόσφατες διαθέσιμες ενημερώσεις ασφαλείας, οι οποίες βοηθούν στον αποκλεισμό μιας σειράς επιθέσεων που αξιοποιούν γνωστά τρωτά σημεία.
Είναι επίσης απαραίτητο να χρησιμοποιείτε έναν ισχυρό κωδικό πρόσβασης διαχειριστή που είναι δύσκολο να μαντέψει κανείς ή να παραβιάσει μέσω επίθεσης brute force.
Το πιο κρίσιμο βήμα είναι να τοποθετήσετε τον διακομιστή της βάσης δεδομένων πίσω από ένα τείχος προστασίας που επιτρέπει μόνο σε εξουσιοδοτημένες συσκευές να έχουν πρόσβαση στον διακομιστή.
Τέλος, παρακολουθήστε όλες τις ενέργειες για τον εντοπισμό ύποπτης δραστηριότητας αναγνώρισης και χρησιμοποιήστε έναν ελεγκτή πρόσβασης δεδομένων για επιθεώρηση της πολιτικής των συναλλαγών δεδομένων.
