Phần mềm độc hại GoBruteforcer

Một phần mềm độc hại mới có tên GoBruteforcer đã được các nhà nghiên cứu an ninh mạng phát hiện. Phần mềm độc hại này được viết bằng ngôn ngữ lập trình Go và được thiết kế đặc biệt để nhắm mục tiêu các máy chủ web chạy phpMyAdmin, MySQL, FTP và Postgres. Mục tiêu của mối đe dọa là chiếm quyền kiểm soát các thiết bị này và thêm chúng vào mạng botnet, sau đó mạng này có thể được sử dụng cho các hoạt động độc hại khác nhau. Chi tiết về khả năng độc hại của mối đe dọa đã được công bố trong một báo cáo của các nhà nghiên cứu infosec tại Đơn vị 42 của Palo Alto Networks.

Một trong những tính năng đáng chú ý của GoBruteforcer là việc sử dụng tính năng quét khối Định tuyến liên miền không phân loại (CIDR). Kỹ thuật này cho phép phần mềm độc hại quét mạng và nhắm mục tiêu tất cả các địa chỉ IP trong phạm vi CIDR cụ thể thay vì chỉ sử dụng một địa chỉ IP duy nhất làm mục tiêu. Bằng cách này, phần mềm độc hại có thể truy cập nhiều loại máy chủ hơn trên các IP khác nhau trong mạng. Điều này gây khó khăn hơn cho các quản trị viên mạng trong việc phát hiện và ngăn chặn cuộc tấn công.

Các thiết bị bị lây nhiễm bởi phần mềm độc hại GoBruteforcer được thêm vào Botnet

GoBruteforcer là một loại phần mềm độc hại được thiết kế dành riêng cho các nền tảng giống Unix chạy kiến trúc x86, x64 và ARM. Phần mềm độc hại cố gắng giành quyền truy cập vào các thiết bị này thông qua một cuộc tấn công vũ phu bằng cách sử dụng danh sách thông tin xác thực được mã hóa cứng thành tệp nhị phân. Nếu thành công, phần mềm độc hại sẽ triển khai bot IRC (trò chuyện chuyển tiếp qua internet) trên máy chủ của nạn nhân để thiết lập liên lạc với máy chủ do tác nhân kiểm soát.

Ngoài việc sử dụng một cuộc tấn công brute-force, GoBruteforcer còn tận dụng một PHP web shell đã được cài đặt trên máy chủ nạn nhân. Điều này cho phép phần mềm độc hại thu thập thêm thông tin về mạng được nhắm mục tiêu.

Bất chấp tính hiệu quả của nó, vẫn chưa rõ GoBruteforcer và trình bao PHP ban đầu được phân phối tới các thiết bị được nhắm mục tiêu như thế nào. Tuy nhiên, các nhà nghiên cứu an ninh mạng đã lưu ý rằng các chiến thuật và kỹ thuật của phần mềm độc hại đang tích cực phát triển, cho thấy các nhà phát triển đằng sau nó đang liên tục nỗ lực để tránh bị phát hiện và nâng cao hiệu quả của các cuộc tấn công.

Các biện pháp an ninh mạng mạnh mẽ phải là ưu tiên hàng đầu cho người dùng cũng như các tổ chức

Các máy chủ web từ lâu đã trở thành mục tiêu được săn lùng ráo riết của những kẻ tấn công mạng. Mật khẩu yếu có thể dẫn đến các mối đe dọa đáng kể, vì máy chủ web là một thành phần thiết yếu trong cơ sở hạ tầng kỹ thuật số của một tổ chức. Phần mềm độc hại như GoBruteforcer khai thác các lỗ hổng này bằng cách lợi dụng mật khẩu yếu hoặc mật khẩu mặc định để truy cập trái phép vào các máy chủ này.

Một trong những tính năng quan trọng nhất của bot GoBruteforcer là khả năng quét nhiều lần, cho phép nó nhắm mục tiêu vào nhiều nạn nhân tiềm năng. Điều này, cùng với sự phát triển tích cực của phần mềm độc hại, có nghĩa là những kẻ tấn công có thể sửa đổi các chiến thuật và kỹ thuật của chúng để nhắm mục tiêu các máy chủ web hiệu quả hơn trong tương lai. Do đó, điều cần thiết là đảm bảo rằng các máy chủ web được bảo mật bằng mật khẩu mạnh và duy nhất để giảm thiểu nguy cơ bị phần mềm độc hại như GoBruteforcer tấn công.