adlı yeni bir Golang tabanlı kötü amaçlı yazılım GoBruteforcer cihazları bir botnet’e bağlamak için phpMyAdmin, MySQL, FTP ve Postgres çalıştıran web sunucularını hedeflediği bulunmuştur.
Palo Alto Networks Unit 42 araştırmacıları, “GoBruteforcer, saldırı sırasında ağı taramak için bir Sınıfsız Etki Alanları Arası Yönlendirme (CIDR) bloğu seçti ve bu CIDR aralığındaki tüm IP adreslerini hedef aldı” dedi.
“Tehdit aktörü, hedef olarak tek bir IP adresi kullanmak yerine, bir ağ içindeki farklı IP’lerdeki çok çeşitli hedef ana bilgisayarlara erişim elde etmenin bir yolu olarak CIDR blok taramasını seçti.”
Kötü amaçlı yazılım esas olarak x86, x64 ve ARM mimarilerini çalıştıran Unix benzeri platformları ayırmak için tasarlanmıştır ve GoBruteforcer, ikili dosyaya sabit kodlanmış bir kimlik bilgileri listesini kullanarak bir kaba kuvvet saldırısı yoluyla erişim elde etmeye çalışır.
Saldırının başarılı olduğu kanıtlanırsa, aktör tarafından kontrol edilen bir sunucuyla iletişim kurmak için kurban sunucuya bir internet geçişli sohbet (IRC) botu yerleştirilir.
GoBruteforcer ayrıca, hedeflenen ağ hakkında daha fazla ayrıntı toplamak için kurban sunucuda zaten yüklü olan bir PHP web kabuğundan yararlanır.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Bununla birlikte, hem GoBruteforcer’ı hem de PHP web kabuğunu teslim etmek için kullanılan kesin ilk izinsiz giriş vektörü henüz belirlenmedi. Siber güvenlik şirketi tarafından toplanan eserler, taktiklerini geliştirmek ve tespit edilmekten kaçınmak için aktif geliştirme çabaları gösteriyor.
Bulgular, tehdit aktörlerinin platformlar arası kötü amaçlı yazılım geliştirmek için Golang’ı nasıl giderek daha fazla benimsediğinin bir başka göstergesi. Dahası, GoBruteforcer’ın çoklu tarama özelliği, onu güçlü bir tehdit haline getirerek geniş bir hedef kümesini ihlal etmesini sağlar.
Unit 42, “Web sunucuları, tehdit aktörleri için her zaman kazançlı bir hedef olmuştur” dedi. “Web sunucuları bir kuruluşun vazgeçilmez bir parçası olduğundan, zayıf parolalar ciddi tehditlere yol açabilir. GoBruteforcer gibi kötü amaçlı yazılımlar, zayıf (veya varsayılan) parolalardan yararlanır.”