Détecter Gh0stCringe RAT
Table des matières :
Malware Gh0stCringe : Variante du célèbre Gh0st RAT
Le Gh0stCringe, ou malware CirenegRAT, basé sur le code de Gh0st RAT, est de retour, mettant en danger les serveurs de bases de données Microsoft SQL et MySQL mal protégés. Ce cheval de Troie d’accès distant (RAT) a été repéré pour la première fois en décembre 2018, et a refait surface en 2020 dans des attaques de cyber-espionnage liées à la Chine contre des réseaux gouvernementaux et d’entreprises aux États-Unis. Le nouveau malware est utilisé contre des serveurs de bases de données ayant des mots de passe administrateur faibles.
Détection du malware Gh0stCringe
Pour une détection efficace du RAT Gh0stCringe, utilisez la règle Sigma ci-dessous développée par le talentueux membre du programme SOC Prime Threat Bounty Sittikorn Sangrattanapitak, pour suivre en temps opportun toute activité de reconnaissance suspecte dans votre système :
Gh0stCringe RAT déclenchant un processus suspect sur des serveurs de bases de données vulnérables
Cette détection dispose de traductions pour les plateformes SIEM, EDR et XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro et AWS OpenSearch.
La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique Initial Access avec l’exploitation d’une application accessible au public (T1190) comme technique principale.
Pour détecter d’autres compromissions possibles du système, consultez la liste complète des règles disponible dans le dépôt du Threat Detection Marketplace de la plateforme SOC Prime. Les adeptes de la cybersécurité sont plus que bienvenus pour rejoindre le programme Threat Bounty afin de partager des règles Sigma sélectionnées avec la communauté et obtenir des récompenses récurrentes.
Voir les détections Rejoindre Threat Bounty
Analyse du Gh0stCringe RAT
Les chercheurs d’AhnLab’s ASEC ont révélé des malwares RAT ciblant les serveurs MS-SQL, MySQL avec des identifiants de comptes faciles à compromettre, ou des vulnérabilités non corrigées. Le malware surnommé Gh0stCringe, également connu sous le nom de cineregRAT, est une variante de Gh0st RAT, avec son code source publié publiquement. Les acteurs malveillants sont signalés pour déployer le Gh0stCringe RAT qui se connecte facilement au serveur C2 pour accepter des commandes personnalisées ou exfiltrer des données volées. Dans la campagne la plus récente, les adversaires compromettent des serveurs de bases de données, utilisant les processus mysqld.exe, mysqld-nt.exe, et sqlserver.exe pour écrire l’exécutable malveillant ‘mcsql.exe’ sur le disque des systèmes compromis.
Une fois déployé, Gh0stCringe est utilisé pour accéder aux sites Web requis via le navigateur Internet Explorer, télécharger des charges utiles telles que des mineurs de crypto-monnaie à partir des serveurs C2, voler des données système et des produits de sécurité Windows, et supprimer le Master Boot Record (MBR) du système.
Le déploiement du Gh0stCringe RAT livre un keylogger qui détourne les entrées utilisateur du système infecté.
Pour protéger votre organisation contre cette menace cybernétique ou toute autre à venir, inscrivez-vous sur la
plateforme Detection as Code de SOC Prime . Détectez les dernières menaces dans votre environnement de sécurité, améliorez la couverture des sources de logs et du MITRE ATT&CK, et défendez-vous plus facilement, rapidement et efficacement.. Detect the latest threats within your security environment, improve log source and MITRE ATT&CK coverage, and defend against attacks easier, faster, and more efficiently.