sql injection

Servidores SQL e MySQL são alvo do malware Gh0stCringe

Da Redação
17/03/2022

Os servidores de banco de dados SQL e MySQL Microsoft mal protegidos estão sendo alvos de ataques para implantação do trojan de acesso remoto Gh0stCringe. Também conhecido como CirenegRAT, o malware é uma variante do Gh0st RAT que foi usado por hackers apoiados pela China em 2020 para operações de espionagem cibernética, mas ele remonta a 2018.

Em novo relatório da empresa de segurança cibernética AhnLab, os pesquisadores de segurança dizem que os hackers por trás do GhostCringe estão visando servidores de banco de dados mal protegidos com credenciais de conta fracas e sem supervisão. Segundo os pesquisadores, eles estariam violando os servidores de banco de dados usando os processos mysqld.exe, mysqld-nt.exe e sqlserver.exe para gravar o executável malicioso ‘mcsql.exe’ no disco.

Esses ataques são semelhantes ao feito ao servidor SQL relatado em fevereiro passado, que disseminaram os beacons Cobalt Strike usando o comando xp_cmdshell do gerenciador de banco de dados.

Além do Gh0stCringe, o relatório do AhnLab menciona a presença de várias amostras de malware nos servidores examinados, indicando que os operadores de ameaças concorrentes estão violando os mesmos servidores para descartar cargas úteis para suas próprias campanhas.

Veja isso
Servidores Microsoft SQL estão vulneráveis ao Cobalt Strike
Ransomware oportunista já atacou mais de 83 mil servidores MySQL

O Gh0stCringe RAT é um malware poderoso que estabelece uma conexão com o servidor de comando e controle (C&C) para receber comandos personalizados ou exfiltrar informações roubadas. Ele tem suporte a quatro modos operacionais, ou seja, 0, 1, 2 e um modo especial do Windows 10, selecionado pelo operador da ameaça durante a implantação.

Para se defender de um possível ataque, pesquisadores de segurança aconselham primeiro atualizar o software do servidor para aplicar as atualizações de segurança mais recentes disponíveis, o que ajuda a excluir uma série de ataques que aproveitam vulnerabilidades conhecidas. Também é essencial usar uma senha de administrador forte que seja difícil de adivinhar ou força bruta.

A etapa mais crucial, no entanto, é colocar o servidor de banco de dados atrás de um firewall, permitindo que apenas dispositivos autorizados acessem o servidor. Por fim, é preciso monitorar todas as ações para identificar atividades de reconhecimento suspeitas e use um controlador de acesso a dados para inspeção de políticas de transações de dados.

Compartilhar: