GoBruteforcer Malware

Нов зловреден софтуер, наречен GoBruteforcer, беше открит от изследователи по киберсигурност. Този зловреден софтуер е написан на езика за програмиране Go и е специално проектиран да се насочва към уеб сървъри, работещи с phpMyAdmin, MySQL, FTP и Postgres. Целта на заплахата е да поеме контрола над тези устройства и да ги добави към ботнет, който след това може да се използва за различни злонамерени дейности. Подробности за злонамерените възможности на заплахата бяха публикувани в доклад от изследователите на информационната сигурност в Palo Alto Networks Unit 42.

Една от забележителните характеристики на GoBruteforcer е използването на блоково сканиране на Classless Inter-Domain Routing (CIDR). Тази техника позволява на злонамерения софтуер да сканира мрежата и да се насочи към всички IP адреси в конкретен CIDR диапазон, вместо просто да използва един IP адрес като цел. Правейки това, злонамереният софтуер може да получи достъп до по-широк кръг от хостове на различни IP адреси в мрежата. Това затруднява мрежовите администратори да открият и блокират атаката.

Устройства, заразени от зловреден софтуер GoBruteforcer, се добавят към ботнет

GoBruteforcer е вид зловреден софтуер, който е проектиран специално да се насочва към Unix-подобни платформи, работещи с x86, x64 и ARM архитектури. Зловреден софтуер се опитва да получи достъп до тези устройства чрез атака с груба сила, използвайки списък с идентификационни данни, които са твърдо кодирани в двоичния файл. Ако успее, злонамереният софтуер разполага IRC (internet relay chat) бот на сървъра на жертвата, за да установи комуникация със сървър, контролиран от актьор.

В допълнение към използването на атака с груба сила, GoBruteforcer използва и уеб обвивка на PHP, която вече е инсталирана на сървъра на жертвата. Това позволява на зловредния софтуер да събере повече информация за целевата мрежа.

Въпреки ефективността си, не е ясно как GoBruteforcer и обвивката на PHP първоначално се доставят на целевите устройства. Изследователите на киберсигурността обаче отбелязаха, че тактиките и техниките на зловредния софтуер се развиват активно, което показва, че разработчиците зад него непрекъснато работят, за да избегнат откриването и да подобрят ефективността на своите атаки.

Стабилните мерки за киберсигурност трябва да бъдат основен приоритет както за потребителите, така и за организациите

Уеб сървърите са много търсена цел за кибератаки от дълго време. Слабите пароли могат да доведат до значителни заплахи, тъй като уеб сървърите са съществен компонент от цифровата инфраструктура на организацията. Зловреден софтуер като GoBruteforcer използва тези уязвимости, като се възползва от слаби пароли или пароли по подразбиране, за да получи неоторизиран достъп до тези сървъри.

Една от най-важните характеристики на бота GoBruteforcer е неговата способност за мултисканиране, която му позволява да се насочва към широк кръг от потенциални жертви. Това, съчетано с активното развитие на зловреден софтуер, означава, че нападателите могат да променят своите тактики и техники, за да се насочват по-ефективно към уеб сървърите в бъдеще. Ето защо е от съществено значение да се гарантира, че уеб сървърите са защитени със силни и уникални пароли, за да се сведе до минимум рискът от атаки от зловреден софтуер като GoBruteforcer.