新たに発見された Golang ベースのボットネット マルウェアは、phpMyAdmin、MySQL、FTP、および Postgres サービスを実行している Web サーバーをスキャンして感染します。
Palo Alto Networks の Unit 42 の研究者によると、このマルウェアは最初に実際に発見され、GoBruteforcer と名付けられました。このマルウェアは、x86、x64、および ARM アーキテクチャと互換性があります。
GoBruteforcer は脆弱な *nix デバイスをハッキングするために、脆弱なパスワードまたはデフォルトのパスワードを使用してアカウントをブルート フォースします。
「サンプルが正常に実行されるためには、特定の引数が使用されていることや、対象となるサービスがすでにインストールされていること(脆弱なパスワードを使用)など、被害者のシステムに特別な条件が必要です」と研究者は述べています。
標的の IP アドレスごとに、マルウェアは phpMyAdmin、MySQL、FTP、および Postgres サービスのスキャンを開始します。接続を受け入れる開いているポートを検出すると、ハードコードされた資格情報を使用してログインを試みます。
侵入すると、侵害された phpMyAdmin システムに IRC ボットを展開するか、他の標的サービスを実行しているサーバーに PHP Web シェルを展開します。
攻撃の次の段階では、GoBruteforcer はコマンド アンド コントロール サーバーにアクセスし、以前にインストールされた IRC ボットまたは Web シェルを介して配信される指示を待ちます。
このボットネットは、マルチスキャン モジュールを使用して Classless Inter-Domain Routing (CIDR) 内の潜在的な被害者を見つけ、ネットワークに侵入するターゲットを幅広く選択できるようにします。
攻撃する IP アドレスをスキャンする前に、GoBruteforcer は CIDR ブロックを選択し、その範囲内のすべての IP アドレスをターゲットにします。
このマルウェアは、単一の IP を標的にするのではなく、CIDR ブロック スキャンを使用して、さまざまな IP アドレス上のさまざまな範囲のホストにアクセスし、攻撃の範囲を広げます。
GoBruteforcer は活発な開発が行われている可能性が高く、そのオペレーターは戦術と Web サーバーを標的とするマルウェアの機能を適応させ、セキュリティ防御の先を行くことが期待されています。
「このマルウェアは、コインマイナーを含むさまざまな種類のマルウェアをペイロードとしてリモートで展開することが確認されています」と Unit42 は付け加えました。
「GoBruteforcer は活発に開発されていると考えているため、初期の感染経路やペイロードなどは近い将来変更される可能性があります。」
コメント