GoBruteforcer-malware

Een nieuwe malware genaamd GoBruteforcer is ontdekt door cybersecurity-onderzoekers. Deze malware is geschreven in de programmeertaal Go en is specifiek ontworpen om zich te richten op webservers met phpMyAdmin, MySQL, FTP en Postgres. Het doel van de dreiging is om de controle over deze apparaten over te nemen en ze toe te voegen aan een botnet, dat vervolgens kan worden gebruikt voor verschillende kwaadaardige activiteiten. Details over de kwaadaardige mogelijkheden van de dreiging werden vrijgegeven in een rapport van de infosec-onderzoekers van Palo Alto Networks Unit 42.

Een van de opvallende kenmerken van GoBruteforcer is het gebruik van Classless Inter-Domain Routing (CIDR) block scanning. Met deze techniek kan de malware het netwerk scannen en alle IP-adressen binnen een specifiek CIDR-bereik targeten in plaats van slechts één IP-adres als doelwit te gebruiken. Hierdoor kan de malware toegang krijgen tot een groter aantal hosts op verschillende IP's binnen een netwerk. Dit maakt het moeilijker voor netwerkbeheerders om de aanval te detecteren en te blokkeren.

Apparaten die zijn geïnfecteerd door GoBruteforcer-malware, worden toegevoegd aan een botnet

GoBruteforcer is een type malware dat speciaal is ontworpen om zich te richten op Unix-achtige platforms met x86-, x64- en ARM-architecturen. De malware probeert toegang te krijgen tot deze apparaten door middel van een brute-force-aanval met behulp van een lijst met inloggegevens die hard zijn gecodeerd in het binaire bestand. Als dit lukt, zet de malware een IRC-bot (Internet Relay Chat) in op de server van het slachtoffer om communicatie tot stand te brengen met een door een actor bestuurde server.

Naast het gebruik van een brute-force-aanval, maakt GoBruteforcer ook gebruik van een PHP-webshell die al op de slachtofferserver is geïnstalleerd. Hierdoor kan de malware meer informatie verzamelen over het beoogde netwerk.

Ondanks de effectiviteit is het onduidelijk hoe GoBruteforcer en de PHP-shell in eerste instantie worden geleverd aan de beoogde apparaten. Cyberbeveiligingsonderzoekers hebben echter opgemerkt dat de tactieken en technieken van de malware actief evolueren, wat aangeeft dat de ontwikkelaars erachter voortdurend werken om detectie te omzeilen en de effectiviteit van hun aanvallen te verbeteren.

Robuuste cyberbeveiligingsmaatregelen moeten een topprioriteit zijn voor zowel gebruikers als organisaties

Webservers zijn al lange tijd een zeer gewild doelwit voor cyberaanvallers. Zwakke wachtwoorden kunnen tot aanzienlijke bedreigingen leiden, aangezien webservers een essentieel onderdeel zijn van de digitale infrastructuur van een organisatie. Malware zoals GoBruteforcer maakt misbruik van deze kwetsbaarheden door gebruik te maken van zwakke of standaardwachtwoorden om ongeoorloofde toegang tot deze servers te krijgen.

Een van de belangrijkste kenmerken van de GoBruteforcer-bot is de multiscan-mogelijkheid, waardoor deze zich kan richten op een breed scala aan potentiële slachtoffers. Dit, in combinatie met de actieve ontwikkeling van de malware, betekent dat aanvallers hun tactieken en technieken kunnen aanpassen om zich in de toekomst effectiever op webservers te richten. Daarom is het essentieel om ervoor te zorgen dat webservers worden beveiligd met sterke en unieke wachtwoorden om het risico op aanvallen door malware zoals GoBruteforcer te minimaliseren.