Złośliwe oprogramowanie GoBruteforcer

Naukowcy zajmujący się cyberbezpieczeństwem wykryli nowe złośliwe oprogramowanie o nazwie GoBruteforcer. To złośliwe oprogramowanie jest napisane w języku programowania Go i jest specjalnie zaprojektowane do atakowania serwerów WWW z uruchomionymi phpMyAdmin, MySQL, FTP i Postgres. Celem zagrożenia jest przejęcie kontroli nad tymi urządzeniami i dodanie ich do botnetu, który następnie może zostać wykorzystany do różnych złośliwych działań. Szczegóły dotyczące złośliwych możliwości tego zagrożenia zostały ujawnione w raporcie badaczy infosec z Palo Alto Networks Unit 42.

Jedną z godnych uwagi cech GoBruteforcer jest wykorzystanie skanowania bloków Classless Inter-Domain Routing (CIDR). Technika ta umożliwia złośliwemu oprogramowaniu skanowanie sieci i atakowanie wszystkich adresów IP w określonym zakresie CIDR zamiast używania pojedynczego adresu IP jako celu. W ten sposób złośliwe oprogramowanie może uzyskać dostęp do szerszego zakresu hostów na różnych adresach IP w sieci. Utrudnia to administratorom sieci wykrycie i zablokowanie ataku.

Urządzenia zainfekowane złośliwym oprogramowaniem GoBruteforcer są dodawane do botnetu

GoBruteforcer to rodzaj złośliwego oprogramowania, które zostało zaprojektowane specjalnie z myślą o platformach uniksopodobnych z architekturami x86, x64 i ARM. Złośliwe oprogramowanie próbuje uzyskać dostęp do tych urządzeń za pomocą ataku siłowego przy użyciu listy poświadczeń, które są na stałe zakodowane w pliku binarnym. Jeśli się powiedzie, złośliwe oprogramowanie instaluje bota IRC (Internet Relay Chat) na serwerze ofiary w celu nawiązania komunikacji z serwerem kontrolowanym przez aktora.

Oprócz użycia ataku brute-force, GoBruteforcer wykorzystuje również powłokę sieciową PHP, która jest już zainstalowana na serwerze ofiary. Dzięki temu złośliwe oprogramowanie może zebrać więcej informacji o docelowej sieci.

Pomimo swojej skuteczności nie jest jasne, w jaki sposób GoBruteforcer i powłoka PHP są początkowo dostarczane na docelowe urządzenia. Jednak badacze cyberbezpieczeństwa zauważyli, że taktyka i techniki tego złośliwego oprogramowania aktywnie ewoluują, co wskazuje, że jego twórcy nieustannie pracują nad uniknięciem wykrycia i poprawą skuteczności swoich ataków.

Solidne środki bezpieczeństwa cybernetycznego powinny być najwyższym priorytetem zarówno dla użytkowników, jak i organizacji

Serwery sieciowe od dawna są bardzo poszukiwanym celem cyberprzestępców. Słabe hasła mogą prowadzić do poważnych zagrożeń, ponieważ serwery internetowe są niezbędnym elementem infrastruktury cyfrowej organizacji. Złośliwe oprogramowanie, takie jak GoBruteforcer, wykorzystuje te luki, wykorzystując słabe lub domyślne hasła w celu uzyskania nieautoryzowanego dostępu do tych serwerów.

Jedną z najważniejszych cech bota GoBruteforcer jest jego zdolność do wielokrotnego skanowania, która pozwala mu atakować szeroką gamę potencjalnych ofiar. To, w połączeniu z aktywnym rozwojem złośliwego oprogramowania, oznacza, że osoby atakujące mogą modyfikować swoją taktykę i techniki, aby w przyszłości skuteczniej atakować serwery sieciowe. Dlatego konieczne jest zapewnienie, aby serwery sieciowe były zabezpieczone silnymi i unikalnymi hasłami, aby zminimalizować ryzyko ataków złośliwego oprogramowania, takiego jak GoBruteforcer.