17/03/22
Хакеры атакуют плохо защищенные серверы Microsoft SQL и MySQL с целью заражения их трояном для удаленного доступа Gh0stCringe, сообщили специалисты ИБ-компании AhnLab.
Gh0stCringe (он же CirenegRAT) представляет собой разновидность вредоносного ПО Gh0st RAT, известного еще с 2018 года и в последний раз применявшегося Китаем в операциях по кибершпионажу в 2020 году.
Злоумышленники взламывают серверы и с помощью процессов mysqld.exe, mysqld-nt.exe и sqlserver.exe записывают на диск вредоносный исполняемый файл mcsql.exe. Помимо трояна, исследователи обнаружили на скомпрометированных серверах и другие вредоносные программы, а значит, они неоднократно взламывались разными киберпреступниками.
Gh0stCringe представляет собой мощный троян с функциями кейлоггера, получающий команды с C&C-сервера и отправляющий похищенные данные своим операторам. В процессе развертывания злоумышленники могут настраивать его в зависимости от того, какие функции он должен выполнять.
Кейлоггер-компонент использует метод Windows Polling (GetAsyncKeyState API) для запроса состояния каждого ключа через бесконечную петлю. Данный метод создает подозрительно высокую нагрузку на центральный процессор, но в случае с плохо управляемыми серверами это не создает хакерам никаких проблем.
Вредонос также осуществляет мониторинг нажатий клавиш на клавиатуре за последние три минуты и отправляет эти данные вместе с основной информацией о сети и ОС на C&C-сервер. Это позволяет злоумышленникам похищать учетные данные и другую чувствительную информацию, вводимую пользователем с помощью клавиатуры.
