Rilevare Gh0stCringe RAT

[post-views]
Marzo 17, 2022 · 3 min di lettura
Rilevare Gh0stCringe RAT

Gh0stCringe Malware: Variante del famigerato Gh0st RAT

Il malware Gh0stCringe, o CirenegRAT, basato sul codice di Gh0st RAT, è tornato, mettendo a rischio i server di database Microsoft SQL e MySQL poco protetti. Questo trojan di accesso remoto (RAT) è stato individuato per la prima volta nel dicembre 2018, e riemerso nel 2020 in attacchi di cyber spionaggio legati alla Cina contro reti governative e aziendali negli Stati Uniti. Il nuovo malware è utilizzato contro server di database con password amministrative deboli.

Rilevamento del Malware Gh0stCringe

Per un’efficace rilevazione del Gh0stCringe RAT, utilizza la regola Sigma qui sotto sviluppata dal talentuoso membro del SOC Prime Threat Bounty Program Sittikorn Sangrattanapitak, per monitorare tempestivamente qualsiasi attività di ricognizione sospetta nel tuo sistema:

Il Gh0stCringe RAT genera processi sospetti su server di database vulnerabili

Questa rilevazione ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro e AWS OpenSearch.

La regola è allineata con l’ultimo framework MITRE ATT&CK® v.10, affrontando la tattica di accesso iniziale con Exploit Public-Facing Application (T1190) come tecnica principale.

Per rilevare altri possibili compromessi di sistema, consulta l’ elenco completo delle regole disponibile nel repository Threat Detection Marketplace della piattaforma SOC Prime. Gli esperti di cybersecurity sono più che benvenuti a unirsi al programma Threat Bounty per condividere regole Sigma curate con la comunità e ottenere ricompense ricorrenti.

Visualizza Rilevamenti Unisciti a Threat Bounty

Analisi del Gh0stCringe RAT

ASEC di AhnLab ricercatori hanno rivelato un malware RAT che prende di mira i server MS-SQL, MySQL con credenziali di account facili da compromettere, o vulnerabilità non patchate. Il malware denominato Gh0stCringe, noto anche come cireneRAT, è una variante del Gh0st RAT, con il suo codice sorgente rilasciato pubblicamente.

Si riporta che gli attori delle minacce distribuiscano il Gh0stCringe RAT che si connette agevolmente al server C2 per accettare comandi personalizzati o esfiltrare dati rubati. Nella campagna più recente, gli avversari compromettono i server di database utilizzando i processi mysqld.exe, mysqld-nt.exe e sqlserver.exe per scrivere l’eseguibile malevolo ‘mcsql.exe’ sul disco nei sistemi violati.

Dopo il suo dispiegamento, Gh0stCringe viene utilizzato per accedere a siti web richiesti tramite il browser web Internet Explorer, scaricare payload come miner di criptovalute dai server C2, rubare dati del sistema Windows e dei prodotti di sicurezza e distruggere il Master Boot Record (MBR) del sistema.

Il dispiegamento del Gh0stCringe RAT fornisce un keylogger che intercetta gli input dell’utente dal sistema infetto.

Per proteggere la tua organizzazione da questa o qualsiasi altra minaccia informatica in arrivo, registrati sulla piattaforma Detection as Code di SOC Prime. Rileva le minacce più recenti all’interno del tuo ambiente di sicurezza, migliora la fonte di log e la copertura MITRE ATT&CK, e difenditi dagli attacchi in modo più facile, veloce ed efficiente.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Articoli correlati