Gh0stCringe RAT Son Saldırılarda Veritabanı Sunucularını Hedefliyor
Güvenlik araştırmacıları, kimlik bilgisi toplama ve veri hırsızlığı için MS-SQL ve MySQL veritabanı sunucularını hedefleyen bir dizi yeni Gh0stCringe RAT saldırısı belirlediler.
AhnLab Güvenlik Acil Müdahale Merkezi (ASEC) araştırmacıları, ilk olarak 2018'de tespit edilen tehdidin, genel olarak yayınlanan Gh0st RAT kaynak koduna dayandığını ve zayıf güvenlikli sunucuları hedeflediğini söylüyor.
Kötü amaçlı yazılımın analizi, Gh0st RAT'ın kaynak kodunun bazı bölümlerinin değişiklik yapılmadan kullanıldığını, ancak Gh0stCringe kodunun çoğunluğunun benzersiz olduğunu ve bu da onu normal değişkenlerden ayırdığını gösteriyor.
CirenegRAT olarak da adlandırılan Gh0stCringe, daha önce Vollgar CoinMiner ve kaba kuvvet saldırıları yoluyla dağıtılan diğer kötü amaçlı yazılımların bulaştığı makinelerde bulundu.
Tehdit, bir komuta ve kontrol (C&C) sunucusuna bağlanmak ve operatörlerinden alınan talimatlara göre çeşitli eylemler gerçekleştirmek için tasarlandı.
Kötü amaçlı yazılım kendisini makinedeki belirli konumlara kopyalayabilir, çeşitli analiz kesinti işlevlerini paketleyebilir, bir keylogger düşürür, belirli işlemleri öldürebilir ve çeşitli yürütme modları içerir (kalıcı olsun ya da olmasın).
Etkilenen sistemde tehdit, IP adresi, ana bilgisayar adı ve kurulu güvenlik çözümleri dahil olmak üzere çeşitli sistem bilgilerini ve önceki üç dakikadaki etkinlik belirtilerini toplar ve sızdırır.
C&C'den alınan komutlara dayanarak, kötü amaçlı yazılım ek yükler indirebilir, belirli bir web sitesine bağlanabilir, kullanıcı kimlik bilgilerini ve panodaki verileri çalabilir ve Tencent ile ilgili dosya bilgilerini toplayabilir. Dahası, Gh0stCringe MBR'yi yok ederek makineyi kullanılamaz hale getirebilir.
Tehdit ayrıca kendini güncelleyebilir ve kaldırabilir, Çalıştırma Anahtarını kaydedebilir, makineyi sonlandırabilir veya yeniden başlatabilir, sistemi belirli işlemler için tarayabilir, açılır mesajları görüntüleyebilir ve ek modüller yükleyebilir.
ASEC araştırmacıları, veritabanı sunucularının tipik olarak kaba kuvvet ve sözlük saldırılarında hedef alındığını ve nadiren bilinen, yama uygulanmamış güvenlik açıklarının istismarına kurban gittiğini belirtiyor.
Bu nedenle, yöneticilere her zaman tahmin edilmesi zor parolalar kullanarak sunucularının güvenliğini sağlamaları ve güvenliğin ihlal edilmesini önlemek için en son yamaların yüklendiğinden emin olmaları önerilir. Ayrıca, yöneticilere, dışarıdan erişilebilen tüm veritabanları için güvenlik duvarları gibi güvenlik çözümleri kurmaları ve bakımlarını yapmaları önerilir.
Kaynak: https://www.securityweek.com/gh0stcringe-rat-targeting-database-servers-recent-attacks
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
