มัลแวร์ GoBruteforce ใหม่สำหรับ phpMyAdmin, MySQL, FTP, Postgres
มัลแวร์บอตเน็ต Golang ที่เพิ่งค้นพบใหม่จะสแกนหาและติดไวรัสเว็บเซิร์ฟเวอร์ที่ใช้บริการ phpMyAdmin, MySQL, FTP และ Postgres
ตามที่นักวิจัยจาก Palo Alto Networks’ Unit 42 ซึ่งเป็นผู้พบเห็นมันเป็นครั้งแรกในธรรมชาติและขนานนามว่า GoBruteforcer มัลแวร์นี้เข้ากันได้กับสถาปัตยกรรม x86, x64 และ ARM
GoBruteforcer จะบังคับบัญชีด้วยรหัสผ่านที่ไม่รัดกุมหรือรหัสผ่านเริ่มต้นเพื่อเจาะเข้าไปในอุปกรณ์ *nix ที่มีช่องโหว่
นักวิจัยกล่าวว่า “สำหรับการดำเนินการที่ประสบความสำเร็จ กลุ่มตัวอย่างต้องมีเงื่อนไขพิเศษในระบบของเหยื่อ เช่น อาร์กิวเมนต์เฉพาะที่ใช้อยู่ และบริการเป้าหมายที่ติดตั้งไว้แล้ว (ใช้รหัสผ่านที่ไม่รัดกุม)”
สำหรับแต่ละที่อยู่ IP เป้าหมายมัลแวร์จะเริ่มสแกน phpMyAdmin, MySQL, FTP และบริการ Postgres หลังจากตรวจพบพอร์ตเปิดที่ยอมรับการเชื่อมต่อ ก็จะพยายามเข้าสู่ระบบโดยใช้ข้อมูลประจำตัวแบบฮาร์ดโค้ด
เมื่อเข้าไปแล้วจะปรับใช้บอท IRC บนระบบ phpMyAdmin ที่เสียหายหรือเชลล์เว็บ PHP บนเซิร์ฟเวอร์ที่ใช้บริการเป้าหมายอื่น ๆ
ในขั้นตอนต่อไปของการโจมตี GoBruteforcer จะเข้าถึงเซิร์ฟเวอร์คำสั่งและการควบคุมเพื่อรอคำสั่งที่ส่งผ่านบอท IRC หรือเว็บเชลล์ที่ติดตั้งไว้ก่อนหน้านี้
บอทเน็ตใช้โมดูลการสแกนหลายจุดเพื่อค้นหาผู้ที่อาจตกเป็นเหยื่อภายใน Classless Inter-Domain Routing (CIDR) ดังนั้นจึงมีตัวเลือกเป้าหมายที่หลากหลายสำหรับการเจาะเครือข่าย
ก่อนที่จะสแกนที่อยู่ IP ที่คุณต้องการโจมตี GoBruteforcer จะเลือกบล็อก CIDR และกำหนดเป้าหมายที่อยู่ IP ทั้งหมดในช่วงนั้น
มัลแวร์นี้ไม่ได้มุ่งเป้าไปที่ IP เดียว แต่ใช้การสแกนบล็อก CIDR เพื่อเข้าถึงโฮสต์ต่าง ๆ บนที่อยู่ IP ที่แตกต่างกันซึ่งจะช่วยเพิ่มขอบเขตของการโจมตี
GoBruteforcer อาจกำลังได้รับการพัฒนาอย่างแข็งขันและคาดว่าผู้ให้บริการจะปรับกลยุทธ์และความสามารถของมัลแวร์เพื่อกำหนดเป้าหมายเซิร์ฟเวอร์เครือข่ายและนำหน้าการป้องกันความปลอดภัย
Unit42 กล่าวเสริม “เราได้เห็นมัลแวร์นี้ใช้งานมัลแวร์ประเภทต่างๆ จากระยะไกลเป็น payload รวมถึง coinminers ด้วย”
เราเชื่อว่า GoBruteforcer อยู่ในระหว่างการพัฒนา และด้วยเหตุนี้สิ่งต่างๆ เช่น พาหะของการติดเชื้อเริ่มต้นหรือ payload อาจเปลี่ยนแปลงได้ในอนาคตอันใกล้นี้
อ้างอิง bleepingcomputer
สอบถามเพิ่มเติม
💬Line: @monsterconnect https://lin.ee/cCTeKBE
☎️Tel: 02-026-6664
📩Email: [email protected]
📝 Price List สินค้า https://bit.ly/3mSpuQY
🏢 Linkedin : https://www.linkedin.com/company/monster-connect-co-ltd/
📺 YouTube : https://www.youtube.com/c/MonsterConnectOfficial
📲 TikTok : https://www.tiktok.com/@monsteronlines
🌍 Website : www.monsterconnect.co.th