mobile-logo

มัลแวร์ GoBruteforce ใหม่สำหรับ phpMyAdmin, MySQL, FTP, Postgres

16 Mar

มัลแวร์ GoBruteforce ใหม่สำหรับ phpMyAdmin, MySQL, FTP, Postgres

by Rujira Prommawat
in Blog
Comments

มัลแวร์บอตเน็ต Golang ที่เพิ่งค้นพบใหม่จะสแกนหาและติดไวรัสเว็บเซิร์ฟเวอร์ที่ใช้บริการ phpMyAdmin, MySQL, FTP และ Postgres

ตามที่นักวิจัยจาก Palo Alto Networks’ Unit 42 ซึ่งเป็นผู้พบเห็นมันเป็นครั้งแรกในธรรมชาติและขนานนามว่า GoBruteforcer มัลแวร์นี้เข้ากันได้กับสถาปัตยกรรม x86, x64 และ ARM

GoBruteforcer จะบังคับบัญชีด้วยรหัสผ่านที่ไม่รัดกุมหรือรหัสผ่านเริ่มต้นเพื่อเจาะเข้าไปในอุปกรณ์ *nix ที่มีช่องโหว่

นักวิจัยกล่าวว่า “สำหรับการดำเนินการที่ประสบความสำเร็จ กลุ่มตัวอย่างต้องมีเงื่อนไขพิเศษในระบบของเหยื่อ เช่น อาร์กิวเมนต์เฉพาะที่ใช้อยู่ และบริการเป้าหมายที่ติดตั้งไว้แล้ว (ใช้รหัสผ่านที่ไม่รัดกุม)”

สำหรับแต่ละที่อยู่ IP เป้าหมายมัลแวร์จะเริ่มสแกน phpMyAdmin, MySQL, FTP และบริการ Postgres หลังจากตรวจพบพอร์ตเปิดที่ยอมรับการเชื่อมต่อ ก็จะพยายามเข้าสู่ระบบโดยใช้ข้อมูลประจำตัวแบบฮาร์ดโค้ด

เมื่อเข้าไปแล้วจะปรับใช้บอท IRC บนระบบ phpMyAdmin ที่เสียหายหรือเชลล์เว็บ PHP บนเซิร์ฟเวอร์ที่ใช้บริการเป้าหมายอื่น ๆ

ในขั้นตอนต่อไปของการโจมตี GoBruteforcer จะเข้าถึงเซิร์ฟเวอร์คำสั่งและการควบคุมเพื่อรอคำสั่งที่ส่งผ่านบอท IRC หรือเว็บเชลล์ที่ติดตั้งไว้ก่อนหน้านี้

บอทเน็ตใช้โมดูลการสแกนหลายจุดเพื่อค้นหาผู้ที่อาจตกเป็นเหยื่อภายใน Classless Inter-Domain Routing (CIDR) ดังนั้นจึงมีตัวเลือกเป้าหมายที่หลากหลายสำหรับการเจาะเครือข่าย

ก่อนที่จะสแกนที่อยู่ IP ที่คุณต้องการโจมตี GoBruteforcer จะเลือกบล็อก CIDR และกำหนดเป้าหมายที่อยู่ IP ทั้งหมดในช่วงนั้น

มัลแวร์นี้ไม่ได้มุ่งเป้าไปที่ IP เดียว แต่ใช้การสแกนบล็อก CIDR เพื่อเข้าถึงโฮสต์ต่าง ๆ บนที่อยู่ IP ที่แตกต่างกันซึ่งจะช่วยเพิ่มขอบเขตของการโจมตี

GoBruteforcer อาจกำลังได้รับการพัฒนาอย่างแข็งขันและคาดว่าผู้ให้บริการจะปรับกลยุทธ์และความสามารถของมัลแวร์เพื่อกำหนดเป้าหมายเซิร์ฟเวอร์เครือข่ายและนำหน้าการป้องกันความปลอดภัย

Unit42 กล่าวเสริม “เราได้เห็นมัลแวร์นี้ใช้งานมัลแวร์ประเภทต่างๆ จากระยะไกลเป็น payload รวมถึง coinminers ด้วย”

เราเชื่อว่า GoBruteforcer อยู่ในระหว่างการพัฒนา และด้วยเหตุนี้สิ่งต่างๆ เช่น พาหะของการติดเชื้อเริ่มต้นหรือ payload อาจเปลี่ยนแปลงได้ในอนาคตอันใกล้นี้

อ้างอิง bleepingcomputer

สอบถามเพิ่มเติม

💬Line: @monsterconnect https://lin.ee/cCTeKBE

☎️Tel: 02-026-6664

📩Email: [email protected]

📝 Price List สินค้า https://bit.ly/3mSpuQY

🏢 Linkedin : https://www.linkedin.com/company/monster-connect-co-ltd/

📺 YouTube : https://www.youtube.com/c/MonsterConnectOfficial

📲 TikTok : https://www.tiktok.com/@monsteronlines

🌍 Website : www.monsterconnect.co.th

Tags:
,
Avatar
Rujira Prommawat