Yeni keşfedilen Golang tabanlı bir botnet kötü amaçlı yazılımı, phpMyAdmin, MySQL, FTP ve Postgres hizmetlerini çalıştıran web sunucularını tarar ve bu sunuculara bulaşır.
Palo Alto Networks’ün Unit 42’deki araştırmacılarına göre, onu ilk kez vahşi ortamda tespit eden ve ona GoBruteforcer adını veren kötü amaçlı yazılım, x86, x64 ve ARM mimarileriyle uyumludur.
GoBruteforcer, savunmasız *nix cihazlarına girmek için zayıf veya varsayılan parolalara sahip hesapları kaba kuvvetle kullanır.
Araştırmacılar, “Başarılı bir şekilde yürütmek için, örnekler, kurban sistemde kullanılan belirli argümanlar ve halihazırda kurulu olan (zayıf şifrelerle) hedeflenen hizmetler gibi özel koşullar gerektiriyor” dedi.
Kötü amaçlı yazılım, hedeflenen her IP adresi için phpMyAdmin, MySQL, FTP ve Postgres hizmetlerini taramaya başlar. Bağlantıları kabul eden açık bir bağlantı noktası algıladıktan sonra, sabit kodlanmış kimlik bilgilerini kullanarak oturum açmaya çalışacaktır.
İçeri girdikten sonra, güvenliği ihlal edilmiş phpMyAdmin sistemlerine bir IRC botu veya diğer hedeflenmiş hizmetleri çalıştıran sunuculara bir PHP web kabuğu yerleştirir.
Saldırının bir sonraki aşamasında GoBruteforcer, komuta ve kontrol sunucusuna ulaşacak ve daha önce kurulmuş olan IRC botu veya web kabuğu aracılığıyla iletilecek talimatları bekleyecektir.
Botnet, Sınıfsız Etki Alanları Arası Yönlendirme (CIDR) içindeki potansiyel kurbanları bulmak için bir çoklu tarama modülü kullanır ve ağlara sızmak için geniş bir hedef seçimi sağlar.
Saldırmak için IP adreslerini taramadan önce, GoBruteforcer bir CIDR bloğu seçer ve o aralıktaki tüm IP adreslerini hedefler.
Kötü amaçlı yazılım, tek bir IP’yi hedeflemek yerine, çeşitli IP adreslerindeki çeşitli ana bilgisayarlara erişim için CIDR blok taramasını kullanır ve saldırının erişimini artırır.
GoBruteforcer, operatörlerinin taktiklerini ve kötü amaçlı yazılımın yeteneklerini web sunucularını hedeflemek ve güvenlik savunmalarının önünde kalmak için uyarlaması beklendiğinden, muhtemelen aktif geliştirme aşamasındadır.
Unit42, “Bu kötü amaçlı yazılımın, madeni para madencileri de dahil olmak üzere çeşitli farklı kötü amaçlı yazılım türlerini yük olarak uzaktan dağıttığını gördük” diye ekledi.
“GoBruteforcer’ın aktif geliştirme aşamasında olduğuna inanıyoruz ve bu nedenle, ilk enfeksiyon vektörleri veya yükleri gibi şeyler yakın gelecekte değişebilir.”