Шкідливе програмне забезпечення GoBruteforcer

Дослідники з кібербезпеки виявили нову шкідливу програму під назвою GoBruteforcer. Це зловмисне програмне забезпечення написано мовою програмування Go та спеціально розроблено для націлювання на веб-сервери, на яких запущено phpMyAdmin, MySQL, FTP і Postgres. Мета загрози — взяти під контроль ці пристрої та додати їх до ботнету, який потім можна використовувати для різноманітних шкідливих дій. Подробиці про зловмисні можливості загрози були оприлюднені у звіті дослідників інфосеки з підрозділу 42 Palo Alto Networks.

Однією з помітних особливостей GoBruteforcer є використання сканування блоків Classless Inter-Domain Routing (CIDR). Ця техніка дозволяє зловмисному програмному забезпеченню сканувати мережу та націлюватися на всі IP-адреси в межах певного діапазону CIDR замість використання однієї IP-адреси як цілі. Роблячи це, зловмисне програмне забезпечення може отримати доступ до ширшого кола хостів на різних IP-адресах у мережі. Це ускладнює мережевим адміністраторам виявлення та блокування атаки.

Пристрої, заражені шкідливим програмним забезпеченням GoBruteforcer, додаються до ботнету

GoBruteforcer — це тип зловмисного програмного забезпечення, розробленого спеціально для націлювання на Unix-подібні платформи з архітектурами x86, x64 і ARM. Зловмисне програмне забезпечення намагається отримати доступ до цих пристроїв за допомогою атаки грубої сили, використовуючи список облікових даних, жорстко закодованих у двійковий файл. У разі успіху зловмисне програмне забезпечення розгортає бота IRC (інтернет-релейний чат) на сервері жертви для встановлення зв’язку з сервером, контрольованим актором.

На додаток до використання атаки грубої сили, GoBruteforcer також використовує веб-оболонку PHP, яка вже встановлена на сервері-жертві. Це дозволяє зловмисному програмному забезпеченню збирати більше інформації про цільову мережу.

Незважаючи на його ефективність, незрозуміло, як GoBruteforcer і оболонка PHP спочатку доставляються на цільові пристрої. Проте дослідники з кібербезпеки відзначили, що тактика та методи шкідливого програмного забезпечення активно розвиваються, що вказує на те, що розробники, які стоять за ним, постійно працюють над тим, щоб уникнути виявлення та підвищити ефективність своїх атак.

Надійні заходи кібербезпеки мають бути головним пріоритетом як для користувачів, так і для організацій

Веб-сервери протягом тривалого часу були дуже затребуваною мішенню для кібер-зловмисників. Слабкі паролі можуть призвести до серйозних загроз, оскільки веб-сервери є важливим компонентом цифрової інфраструктури організації. Зловмисне програмне забезпечення, таке як GoBruteforcer, використовує ці вразливості, використовуючи слабкі або стандартні паролі для отримання неавторизованого доступу до цих серверів.

Однією з найважливіших особливостей бота GoBruteforcer є його здатність багаторазового сканування, що дозволяє йому націлюватися на широке коло потенційних жертв. Це в поєднанні з активним розвитком зловмисного програмного забезпечення означає, що зловмисники можуть змінити свою тактику та методи для більш ефективного націлювання на веб-сервери в майбутньому. Тому важливо переконатися, що веб-сервери захищені надійними й унікальними паролями, щоб мінімізувати ризик атак зловмисних програм, таких як GoBruteforcer.