GoBruteforcer 멀웨어

GoBruteforcer라는 새로운 악성코드가 사이버 보안 연구원들에 의해 발견되었습니다. 이 멀웨어는 프로그래밍 언어 Go로 작성되었으며 phpMyAdmin, MySQL, FTP 및 Postgres를 실행하는 웹 서버를 대상으로 특별히 설계되었습니다. 위협의 목표는 이러한 장치를 제어하고 봇넷에 추가하여 다양한 악의적인 활동에 사용할 수 있도록 하는 것입니다. Palo Alto Networks Unit 42의 정보 보안 연구원이 보고서에서 위협의 악의적인 기능에 대한 세부 정보를 공개했습니다.

GoBruteforcer의 주목할만한 기능 중 하나는 CIDR(Classless Inter-Domain Routing) 블록 스캔을 사용한다는 것입니다. 이 기술을 사용하면 멀웨어가 네트워크를 스캔하고 단일 IP 주소를 대상으로 사용하는 대신 특정 CIDR 범위 내의 모든 IP 주소를 대상으로 지정할 수 있습니다. 이를 통해 악성코드는 네트워크 내의 서로 다른 IP에 있는 더 넓은 범위의 호스트에 액세스할 수 있습니다. 이로 인해 네트워크 관리자가 공격을 감지하고 차단하기가 더 어려워집니다.

GoBruteforcer 맬웨어에 감염된 장치가 봇넷에 추가됨

GoBruteforcer는 x86, x64 및 ARM 아키텍처를 실행하는 Unix 계열 플랫폼을 대상으로 특별히 설계된 맬웨어 유형입니다. 맬웨어는 바이너리에 하드 코딩된 자격 증명 목록을 사용하여 무차별 대입 공격을 통해 이러한 장치에 대한 액세스 권한을 얻으려고 시도합니다. 성공하면 멀웨어는 피해자의 서버에 IRC(인터넷 릴레이 채팅) 봇을 배포하여 행위자가 제어하는 서버와 통신을 설정합니다.

무차별 대입 공격을 사용하는 것 외에도 GoBruteforcer는 피해자 서버에 이미 설치된 PHP 웹 셸도 활용합니다. 이를 통해 맬웨어는 대상 네트워크에 대한 더 많은 정보를 수집할 수 있습니다.

그 효과에도 불구하고 GoBruteforcer와 PHP 셸이 초기에 대상 장치에 어떻게 전달되는지는 명확하지 않습니다. 그러나 사이버 보안 연구자들은 맬웨어의 전술과 기술이 활발하게 발전하고 있으며, 이는 맬웨어 배후의 개발자가 탐지를 피하고 공격의 효율성을 개선하기 위해 지속적으로 노력하고 있음을 나타냅니다.

강력한 사이버 보안 조치는 사용자와 조직 모두에게 최우선 순위가 되어야 합니다.

웹 서버는 오랫동안 사이버 공격자들이 많이 찾는 표적이었습니다. 약한 암호는 심각한 위협으로 이어질 수 있습니다. 웹 서버는 조직의 디지털 인프라의 필수 구성 요소이기 때문입니다. GoBruteforcer와 같은 맬웨어는 취약하거나 기본 암호를 이용하여 이러한 서버에 대한 무단 액세스 권한을 얻음으로써 이러한 취약점을 악용합니다.

GoBruteforcer 봇의 가장 중요한 기능 중 하나는 멀티스캔 기능으로 광범위한 잠재적 피해자를 대상으로 삼을 수 있습니다. 이것은 맬웨어의 활발한 개발과 함께 공격자가 향후 웹 서버를 보다 효과적으로 대상으로 삼기 위해 전술과 기술을 수정할 수 있음을 의미합니다. 따라서 GoBruteforcer와 같은 맬웨어의 공격 위험을 최소화하려면 강력하고 고유한 암호로 웹 서버를 보호하는 것이 필수적입니다.