GoBruteforcer Malware

En ny skadlig programvara som heter GoBruteforcer har upptäckts av cybersäkerhetsforskare. Denna skadliga programvara är skriven på programmeringsspråket Go och är speciellt utformad för att rikta in sig på webbservrar som kör phpMyAdmin, MySQL, FTP och Postgres. Målet med hotet är att ta kontroll över dessa enheter och lägga till dem i ett botnät, som sedan kan användas för olika skadliga aktiviteter. Detaljer om hotets skadliga egenskaper släpptes i en rapport från infosec-forskarna vid Palo Alto Networks Unit 42.

En av de anmärkningsvärda egenskaperna hos GoBruteforcer är dess användning av Classless Inter-Domain Routing (CIDR) blockskanning. Denna teknik tillåter skadlig programvara att skanna nätverket och rikta in sig på alla IP-adresser inom ett specifikt CIDR-intervall istället för att bara använda en enda IP-adress som mål. Genom att göra detta kan skadlig programvara komma åt ett bredare utbud av värdar på olika IP-adresser inom ett nätverk. Detta gör det svårare för nätverksadministratörer att upptäcka och blockera attacken.

Enheter infekterade av GoBruteforcer Malware läggs till i ett botnät

GoBruteforcer är en typ av skadlig programvara som har utformats specifikt för att rikta in sig på Unix-liknande plattformar som kör x86, x64 och ARM-arkitekturer. Skadlig programvara försöker få tillgång till dessa enheter genom en brute-force-attack med hjälp av en lista med referenser som är hårdkodade i binären. Om den lyckas distribuerar den skadliga programvaran en IRC-bot (internet relay chat) på offrens server för att upprätta kommunikation med en aktörskontrollerad server.

Förutom att använda en brute-force attack, använder GoBruteforcer också ett PHP-webbskal som redan är installerat på offerservern. Detta gör att skadlig programvara kan samla in mer information om det riktade nätverket.

Trots dess effektivitet är det oklart hur GoBruteforcer och PHP-skalet initialt levereras till de riktade enheterna. Cybersäkerhetsforskare har dock noterat att skadlig programvaras taktik och tekniker aktivt utvecklas, vilket indikerar att utvecklarna bakom det kontinuerligt arbetar för att undvika upptäckt och förbättra effektiviteten av sina attacker.

Robusta cybersäkerhetsåtgärder bör vara en högsta prioritet för både användare och organisationer

Webbservrar har varit ett mycket eftertraktat mål för cyberangripare under lång tid. Svaga lösenord kan leda till betydande hot, eftersom webbservrar är en viktig komponent i en organisations digitala infrastruktur. Skadlig programvara som GoBruteforcer utnyttjar dessa sårbarheter genom att dra fördel av svaga lösenord eller standardlösenord för att få obehörig åtkomst till dessa servrar.

En av de viktigaste egenskaperna hos GoBruteforcer-boten är dess multiscan-förmåga, vilket gör att den kan rikta in sig på ett brett spektrum av potentiella offer. Detta, tillsammans med skadlig programvaras aktiva utveckling, innebär att angripare kan modifiera sin taktik och teknik för att rikta in sig på webbservrar mer effektivt i framtiden. Därför är det viktigt att se till att webbservrar är säkrade med starka och unika lösenord för att minimera risken för attacker av skadlig programvara som GoBruteforcer.