Gh0stCringe-Malware

Hacker attackieren unsichere Microsoft-Server-Infrastruktur

Uhr
von Pascal Wojnarski und cka

Hacker greifen Microsoft-Datenbankserver an. Dazu benutzen sie einen Fernzugriffstrojaner, der auch als Keylogger fungiert. Bei schlecht verwalteten Servern könne der Einsatz dieser Trojaner schnell übersehen werden.

(Source: ©ryanking999 - stock.adobe.com)
(Source: ©ryanking999 - stock.adobe.com)

Hacker haben es auf schlecht gesicherte Microsoft SQL- und MySQL-Datenbankserver abgesehen. Wie "Bleepingcomputer" berichtet, wird der sogenannte "Gh0stCringe"-Remote-Access-Trojaner (RAT) verwendet, um Geräte zu infiltrieren. Gh0stCringe ist auch bekannt als "CirenegRAT" und eine Variante der "Gh0st-RAT-Malware", die zuletzt 2020 bei chinesischer Cyberspionagefällen verwendet wurde. Davor sei sie bereits im Jahr 2018 aufgetreten.

Die Cybersecurity-Firma Ahnlab schreibt in einem Bericht, dass es die Bedrohungsakteure auf schlecht gesicherte Datenbankserver mit schwachen Anmeldedaten und ohne Aufsicht abgesehen hätten. Weiter heisst es, dass die Cyberkriminelle in Datenbankserver eindringen und dabei die Prozesse mysqld.exe, mysqld-nt.exe und sqlserver.exe ausnutzen. Diese laden anschliessend die Malware mcsql.exe herunter. Dieses Vorgehen weise Ähnlichkeiten zu Angriffen auf, bei denen Cobalt-Strike-Beacons mit dem SQL-Befehl xp_cmdshell abgesetzt wurden.

Zudem berichtet Ahnlab über das Vorhandensein mehrerer Malware-Samples auf den untersuchten Servern. Das deute darauf hin, dass mehrere Bedrohungsakteure in dieselben Server eindringen und Ressourcen für ihre eigenen Prozesse abgreifen.

Effektiver Bedrohungsschutz

Die Malware könne während der Bereitstellung speziell für den jeweiligen Einsatzzweck konfiguriert werden. "Bleepingcomputer" stellt die Befehlsliste zur Verfügung. Von den aufgelisteten Komponenten sei der Keylogger die aggressivste. Damit könnten Angreifer alle Benutzereingaben stehlen. Zum Keylogging werde die Windows-Polling-Methode verwendet. Dadurch könne der Status jeder Taste in einer Endlosschleife abgefragt werden. Der dadurch entstehende Mehraufwand bei System-Ressourcen könne bei schlecht verwalteten Servern übersehen werden.

Weiter heisst es, dass man sich gegen derartige Angriffe schützen könne. Zunächst sollen Nutzerinnen und Nutzer ihre Server-Software updaten. Dadurch könne eine Reihe von Angriffen ausgeschlossen werden. Zudem sei es wichtig, sichere Administrator-Passwörter zu verwenden. Am wichtigsten sei es jedoch, eine Firewall zu verwenden. Diese müsse so konfiguriert sein, dass nur autorisierte Geräte Zugriff auf den Server haben.

Übrigens: Das Marktforschungsunternehmen Gartner sagt, dass künftig die Rolle von Cybersecurity-Führungskräften neu definiert werden müsse. Hier können Sie nachlesen, was damit gemeint ist.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_250476