GoBruteforcer Malware

Istraživači kibernetičke sigurnosti otkrili su novi malware nazvan GoBruteforcer. Ovaj malware napisan je u programskom jeziku Go i posebno je dizajniran za ciljanje web poslužitelja koji pokreću phpMyAdmin, MySQL, FTP i Postgres. Cilj prijetnje je preuzeti kontrolu nad tim uređajima i dodati ih u botnet, koji se potom može koristiti za razne zlonamjerne aktivnosti. Pojedinosti o zlonamjernim mogućnostima prijetnje objavljene su u izvješću istraživača infoseca iz Jedinice 42 Palo Alto Networks.

Jedna od značajnih značajki GoBruteforcera je korištenje skeniranja blokova Classless Inter-Domain Routing (CIDR). Ova tehnika omogućuje zlonamjernom softveru skeniranje mreže i ciljanje svih IP adresa unutar određenog CIDR raspona umjesto samo korištenja jedne IP adrese kao cilja. Čineći to, zlonamjerni softver može pristupiti širem rasponu hostova na različitim IP-ovima unutar mreže. To mrežnim administratorima otežava otkrivanje i blokiranje napada.

Uređaji zaraženi zlonamjernim softverom GoBruteforcer dodaju se u botnet

GoBruteforcer je vrsta zlonamjernog softvera koji je posebno dizajniran za ciljanje platformi sličnih Unixu koje pokreću x86, x64 i ARM arhitekturu. Zlonamjerni softver pokušava dobiti pristup tim uređajima brutalnim napadom pomoću popisa vjerodajnica koje su tvrdo kodirane u binarnom obliku. Ako je uspješan, zlonamjerni softver postavlja IRC (internet relay chat) bot na poslužitelj žrtve kako bi uspostavio komunikaciju s poslužiteljem kojim upravlja glumac.

Uz korištenje brute-force napada, GoBruteforcer također koristi PHP web shell koji je već instaliran na poslužitelju žrtve. To omogućuje zlonamjernom softveru da prikupi više informacija o ciljanoj mreži.

Unatoč svojoj učinkovitosti, nejasno je kako se GoBruteforcer i PHP ljuska inicijalno isporučuju na ciljane uređaje. Međutim, istraživači kibernetičke sigurnosti primijetili su da se taktike i tehnike zlonamjernog softvera aktivno razvijaju, što ukazuje na to da programeri koji stoje iza njega neprestano rade na izbjegavanju otkrivanja i poboljšanju učinkovitosti svojih napada.

Čvrste mjere kibernetičke sigurnosti trebale bi biti glavni prioritet za korisnike i organizacije

Web poslužitelji već su dugo vrlo tražena meta cyber napadača. Slabe lozinke mogu dovesti do značajnih prijetnji, jer su web poslužitelji bitna komponenta digitalne infrastrukture organizacije. Zlonamjerni softver kao što je GoBruteforcer iskorištava ove ranjivosti iskorištavanjem prednosti slabih ili zadanih lozinki za dobivanje neovlaštenog pristupa ovim poslužiteljima.

Jedna od najznačajnijih značajki bota GoBruteforcer je njegova mogućnost višestrukog skeniranja, koja mu omogućuje ciljanje širokog spektra potencijalnih žrtava. To, zajedno s aktivnim razvojem zlonamjernog softvera, znači da napadači mogu modificirati svoje taktike i tehnike kako bi u budućnosti učinkovitije ciljali web poslužitelje. Stoga je ključno osigurati da web poslužitelji budu zaštićeni jakim i jedinstvenim lozinkama kako bi se smanjio rizik od napada zlonamjernog softvera kao što je GoBruteforcer.