Detectar Gh0stCringe RAT

[post-views]
marzo 17, 2022 · 3 min de lectura
Detectar Gh0stCringe RAT

Malware Gh0stCringe: Variante del renombrado Gh0st RAT

El Gh0stCringe, o malware CirenegRAT, basado en el código de Gh0st RAT, ha vuelto, poniendo en peligro los servidores de bases de datos Microsoft SQL y MySQL poco protegidos. Este troyano de acceso remoto (RAT) fue detectado por primera vez en diciembre de 2018 y resurgió en 2020 en ataques de ciberespionaje vinculados a China contra redes gubernamentales y corporativas en EE. UU. El nuevo malware se utiliza contra servidores de bases de datos con contraseñas de administrador débiles.

Detección de Malware Gh0stCringe

Para una detección eficiente del RAT Gh0stCringe, utilice la siguiente regla de Sigma desarrollada por el talentoso miembro del Programa de Recompensas por Amenazas de SOC Prime Sittikorn Sangrattanapitak, para rastrear de manera oportuna cualquier actividad de reconocimiento sospechosa en su sistema:

RAT Gh0stCringe Generando Proceso Sospechoso en Servidores de Bases de Datos Vulnerables

Esta detección tiene traducciones para las siguientes plataformas de SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro y AWS OpenSearch.

La regla está alineada con el último marco MITRE ATT&CK® v.10, abordando la táctica de Acceso Inicial con la técnica Exploit Public-Facing Application (T1190) como técnica principal.

Para detectar otras posibles compromisos del sistema, consulte la lista completa de reglas disponible en el repositorio del Mercado de Detección de Amenazas de la plataforma SOC Prime. Los expertos en ciberseguridad son más que bienvenidos a unirse al programa de Recompensas por Amenazas para compartir reglas Sigma seleccionadas con la comunidad y obtener recompensas recurrentes.

Ver Detecciones Unirse a Recompensas por Amenazas

Análisis del RAT Gh0stCringe

ASEC de AhnLab investigadores revelaron malware RAT que apunta a servidores MS-SQL, MySQL con credenciales de cuenta fáciles de comprometer o vulnerabilidades sin parches. El malware denominado Gh0stCringe, también conocido como cineregRAT, es una variante del Gh0st RAT, con su código fuente liberado públicamente.

Se informa que los actores de amenazas despliegan el RAT Gh0stCringe que se conecta sin problemas al servidor C2 para aceptar comandos personalizados o exfiltrar datos robados. En la campaña más reciente, los adversarios comprometen los servidores de bases de datos, utilizando los procesos mysqld.exe, mysqld-nt.exe y sqlserver.exe para escribir el ejecutable malicioso ‘mcsql.exe’ en el disco de los sistemas comprometidos.

Tras su despliegue, Gh0stCringe se utiliza para acceder a los sitios web requeridos a través del navegador web Internet Explorer, descargar cargas maliciosas como mineros de criptomonedas de servidores C2, robar datos de sistemas Windows y productos de seguridad, y eliminar el Registro de Arranque Maestro (MBR) del sistema.

El despliegue del RAT Gh0stCringe entrega un registrador de teclas que secuestra las entradas del usuario del sistema infectado.

Para proteger su organización de esta o cualquier amenaza cibernética inminente, regístrese en la plataforma de Detección como Código de SOC Prime. Detecte las últimas amenazas dentro de su entorno de seguridad, mejore la cobertura de fuentes de registro y MITRE ATT&CK, y defiéndase contra ataques de manera más fácil, rápida y eficiente.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Publicaciones relacionadas