Ngày 14 tháng 3 năm 2023Ravie LakshmananAn ninh mạng / Botnet
Phần mềm độc hại dựa trên Golang mới được đặt tên là GoBạo lực đã được phát hiện nhắm mục tiêu các máy chủ web chạy phpMyAdmin, MySQL, FTP và Postgres để đưa các thiết bị vào mạng botnet.
Các nhà nghiên cứu của Đơn vị 42 Palo Alto Networks cho biết: “GoBruteforcer đã chọn khối Định tuyến liên miền không phân loại (CIDR) để quét mạng trong quá trình tấn công và nó đã nhắm mục tiêu tất cả các địa chỉ IP trong phạm vi CIDR đó”.
“Tác nhân đe dọa đã chọn quét khối CIDR như một cách để có quyền truy cập vào nhiều loại máy chủ mục tiêu trên các IP khác nhau trong mạng thay vì sử dụng một địa chỉ IP duy nhất làm mục tiêu.”
Phần mềm độc hại được thiết kế chủ yếu để chọn ra các nền tảng giống Unix chạy kiến trúc x86, x64 và ARM, với GoBruteforcer cố gắng giành quyền truy cập thông qua một cuộc tấn công vũ phu bằng cách sử dụng danh sách thông tin đăng nhập được mã hóa cứng vào tệp nhị phân.
Nếu cuộc tấn công được chứng minh là thành công, bot trò chuyện chuyển tiếp internet (IRC) sẽ được triển khai trên máy chủ nạn nhân để thiết lập liên lạc với máy chủ do tác nhân kiểm soát.
GoBruteforcer cũng tận dụng trình bao web PHP đã được cài đặt trong máy chủ nạn nhân để thu thập thêm thông tin chi tiết về mạng được nhắm mục tiêu.
Điều đó nói rằng, vectơ xâm nhập ban đầu chính xác được sử dụng để phân phối cả GoBruteforcer và trình bao web PHP vẫn chưa được xác định. Hiện vật được thu thập bởi công ty an ninh mạng cho thấy các nỗ lực phát triển tích cực để phát triển các chiến thuật của nó và tránh bị phát hiện.
Phát hiện này là một dấu hiệu khác cho thấy các tác nhân đe dọa đang ngày càng áp dụng Golang để phát triển phần mềm độc hại đa nền tảng. Hơn nữa, khả năng quét nhiều lần của GoBruteforcer cho phép nó vi phạm nhiều mục tiêu, khiến nó trở thành một mối đe dọa tiềm tàng.
Đơn vị 42 cho biết: “Các máy chủ web luôn là mục tiêu béo bở cho các tác nhân đe dọa. “Mật khẩu yếu có thể dẫn đến các mối đe dọa nghiêm trọng vì máy chủ web là một phần không thể thiếu của một tổ chức. Phần mềm độc hại như GoBruteforcer lợi dụng mật khẩu yếu (hoặc mặc định).”
