بدافزار GoBruteforcer
بدافزار جدیدی به نام GoBruteforcer توسط محققان امنیت سایبری کشف شده است. این بدافزار به زبان برنامه نویسی Go نوشته شده است و به طور خاص برای هدف قرار دادن وب سرورهای دارای phpMyAdmin، MySQL، FTP و Postgres طراحی شده است. هدف از این تهدید، کنترل این دستگاه ها و افزودن آنها به یک بات نت است که می تواند برای فعالیت های مخرب مختلف مورد استفاده قرار گیرد. جزئیات مربوط به قابلیت های مخرب این تهدید در گزارشی توسط محققان infosec در واحد 42 شبکه های پالو آلتو منتشر شد.
یکی از ویژگی های قابل توجه GoBruteforcer استفاده آن از اسکن بلوک بین دامنه ای بدون کلاس (CIDR) است. این تکنیک به بدافزار اجازه میدهد تا شبکه را اسکن کند و به جای استفاده از یک آدرس IP واحد به عنوان هدف، تمام آدرسهای IP را در یک محدوده CIDR خاص هدف قرار دهد. با انجام این کار، بدافزار می تواند به طیف وسیع تری از میزبان ها در IP های مختلف در یک شبکه دسترسی داشته باشد. این امر تشخیص و مسدود کردن حمله را برای مدیران شبکه دشوارتر می کند.
دستگاه های آلوده شده توسط بدافزار GoBruteforcer به یک بات نت اضافه می شوند
GoBruteforcer نوعی بدافزار است که به طور خاص برای هدف قرار دادن پلتفرمهای مشابه یونیکس با معماریهای x86، x64 و ARM طراحی شده است. این بدافزار سعی می کند از طریق یک حمله brute-force با استفاده از لیستی از اعتبارنامه هایی که به صورت سخت در باینری کدگذاری شده اند، به این دستگاه ها دسترسی پیدا کند. در صورت موفقیت، بدافزار یک ربات IRC (چت رله اینترنتی) را در سرور قربانیان مستقر می کند تا با یک سرور کنترل شده توسط بازیگر ارتباط برقرار کند.
علاوه بر استفاده از حمله brute-force، GoBruteforcer همچنین از پوسته وب PHP که قبلاً روی سرور قربانی نصب شده است، استفاده می کند. این به بدافزار اجازه می دهد تا اطلاعات بیشتری در مورد شبکه مورد نظر جمع آوری کند.
علیرغم اثربخشی آن، مشخص نیست که چگونه GoBruteforcer و پوسته PHP در ابتدا به دستگاه های مورد نظر تحویل داده می شوند. با این حال، محققان امنیت سایبری خاطرنشان کردهاند که تاکتیکها و تکنیکهای این بدافزار بهطور فعال در حال تکامل هستند، که نشان میدهد توسعهدهندگان پشت آن به طور مستمر برای فرار از شناسایی و بهبود اثربخشی حملات خود تلاش میکنند.
اقدامات امنیت سایبری قوی باید برای کاربران و سازمانها یک اولویت باشد
وب سرورها برای مدت طولانی هدف مورد توجه مهاجمان سایبری بوده اند. رمزهای عبور ضعیف می تواند منجر به تهدیدات مهمی شود، زیرا وب سرورها جزء ضروری زیرساخت دیجیتال یک سازمان هستند. بدافزارهایی مانند GoBruteforcer از این آسیبپذیریها با استفاده از رمزهای عبور ضعیف یا پیشفرض برای دسترسی غیرمجاز به این سرورها سوء استفاده میکنند.
یکی از مهم ترین ویژگی های ربات GoBruteforcer قابلیت مولتی اسکن آن است که به آن اجازه می دهد تا طیف گسترده ای از قربانیان احتمالی را هدف قرار دهد. این، همراه با توسعه فعال بدافزار، به این معنی است که مهاجمان می توانند تاکتیک ها و تکنیک های خود را برای هدف قرار دادن سرورهای وب به طور مؤثرتری در آینده تغییر دهند. بنابراین، اطمینان از اینکه سرورهای وب با رمزهای عبور قوی و منحصر به فرد ایمن هستند ضروری است تا خطر حملات بدافزاری مانند GoBruteforcer به حداقل برسد.