GoBruteforcer Malware

En ny malware kaldet GoBruteforcer er blevet afsløret af cybersikkerhedsforskere. Denne malware er skrevet i programmeringssproget Go og er specifikt designet til at målrette mod webservere, der kører phpMyAdmin, MySQL, FTP og Postgres. Målet med truslen er at tage kontrol over disse enheder og tilføje dem til et botnet, som derefter kan bruges til forskellige ondsindede aktiviteter. Detaljer om truslens ondsindede egenskaber blev offentliggjort i en rapport fra infosec-forskerne ved Palo Alto Networks Unit 42.

En af de bemærkelsesværdige funktioner ved GoBruteforcer er dens brug af Classless Inter-Domain Routing (CIDR) blokscanning. Denne teknik gør det muligt for malwaren at scanne netværket og målrette mod alle IP-adresser inden for et specifikt CIDR-interval i stedet for blot at bruge en enkelt IP-adresse som mål. Ved at gøre dette kan malwaren få adgang til en bredere vifte af værter på forskellige IP'er inden for et netværk. Dette gør det sværere for netværksadministratorer at opdage og blokere angrebet.

Enheder inficeret af GoBruteforcer Malware føjes til et botnet

GoBruteforcer er en type malware, der er designet specifikt til at målrette mod Unix-lignende platforme, der kører x86, x64 og ARM-arkitekturer. Malwaren forsøger at få adgang til disse enheder gennem et brute-force-angreb ved hjælp af en liste over legitimationsoplysninger, der er hårdkodet til binæren. Hvis det lykkes, implementerer malwaren en IRC (internet relay chat) bot på ofrenes server for at etablere kommunikation med en aktørstyret server.

Ud over at bruge et brute-force-angreb, udnytter GoBruteforcer også en PHP-webshell, der allerede er installeret på offerserveren. Dette gør det muligt for malwaren at indsamle flere oplysninger om det målrettede netværk.

På trods af dens effektivitet er det uklart, hvordan GoBruteforcer og PHP-skallen oprindeligt leveres til de målrettede enheder. Cybersikkerhedsforskere har dog bemærket, at malwarens taktik og teknikker aktivt udvikler sig, hvilket indikerer, at udviklerne bag konstant arbejder på at undgå opdagelse og forbedre effektiviteten af deres angreb.

Robuste cybersikkerhedsforanstaltninger bør være en topprioritet for både brugere og organisationer

Webservere har i lang tid været et meget efterspurgt mål for cyberangribere. Svage adgangskoder kan føre til betydelige trusler, da webservere er en væsentlig komponent i en organisations digitale infrastruktur. Malware såsom GoBruteforcer udnytter disse sårbarheder ved at udnytte svage adgangskoder eller standardadgangskoder til at få uautoriseret adgang til disse servere.

En af de mest betydningsfulde egenskaber ved GoBruteforcer-bot er dens multiscan-funktion, som gør det muligt for den at målrette mod en bred vifte af potentielle ofre. Dette, kombineret med malwarens aktive udvikling, betyder, at angribere kan ændre deres taktik og teknikker for at målrette webservere mere effektivt i fremtiden. Derfor er det vigtigt at sikre, at webservere er sikret med stærke og unikke adgangskoder for at minimere risikoen for angreb fra malware som GoBruteforcer.