Theo nhóm nghiên cứu về thông tin mối đe dọa toàn cầu Unit 42 tới từ hãng bảo mật Palo Alto Networks (Mỹ) cho biết: “GoBruteforcer sử dụng một mô-đun dò quét nhiều lần trong Classless Inter Domain Routing - CIDR (một phương pháp định vị địa chỉ IP) để dò quét mạng trong quá trình tấn công và nhắm mục tiêu đến tất cả các địa chỉ IP trong phạm vi CIDR đó. Tin tặc lựa chọn phương pháp CIDR để có quyền truy cập vào nhiều loại máy chủ mục tiêu trên các dãy địa chỉ IP khác nhau trong mạng, qua đó làm tăng bề mặt phạm vi tấn công, thay vì sử dụng một địa chỉ IP duy nhất làm mục tiêu”.
GoBruteforcer được thiết kế và tương thích với các kiến trúc x86, x64 và ARM, mã độc này cố gắng giành quyền truy cập thông qua một cuộc tấn công Brute-Force các tài khoản có mật khẩu yếu hoặc mật khẩu mặc định để xâm nhập vào các thiết bị dễ bị tấn công.
Đối với mỗi địa chỉ IP được nhắm mục tiêu, mã độc sẽ bắt đầu quét các dịch vụ phpMyAdmin, MySQL, FTP và Postgres. Sau khi phát hiện một cổng mở chấp nhận kết nối, nó sẽ cố gắng đăng nhập bằng thông tin đăng nhập được mã hóa cứng.
Chuỗi tấn công của GoBruteforcer
GoBruteforcer sử dụng một tập lệnh độc hại PHP Webshell đã được cài đặt trong máy chủ nạn nhân để thu thập thêm thông tin chi tiết về mạng mục tiêu. Sau khi xâm nhập thành công, GoBruteforcer sẽ triển khai bot Internet Relay Chat (IRC) trên các các hệ thống máy chủ dịch vụ của nạn nhân được nhắm mục tiêu. Trong giai đoạn tiếp theo của cuộc tấn công, mã độc sẽ liên lạc với máy chủ C2 do tin tặc kiểm soát và chờ lệnh thực thi được gửi qua bot IRC hoặc Webshell đã cài đặt trước đó.
Phát hiện này là một dấu hiệu khác cho thấy các tin tặc đang ngày càng áp dụng Golang để phát triển các chủng mã độc đa nền tảng. Hơn nữa, khả năng dò quét nhiều lần của GoBruteforcer cho phép mã độc này tìm kiếm thêm được nhiều mục tiêu, khiến nó trở thành một mối đe dọa tiềm tàng.
Unit 42 cho biết thêm: “GoBruteforcer triển khai từ xa nhiều loại phần mềm độc hại khác nhau dưới dạng payload, bao gồm cả mã độc đào tiền ảo coinminers. Chúng tôi tin rằng GoBruteforcer đang được phát triển tích cực, với các nhà phát triển của mã độc này được dự báo sẽ điều chỉnh và thay đổi các phương thức, kỹ thuật của họ và các tính năng của mã độc để mở rộng các mục tiêu, đồng thời lẩn tránh việc bị phát hiện và vượt qua các biện pháp bảo mật”.
Các máy chủ web luôn là mục tiêu tiềm tàng của tin tặc, do đó, các nhà nghiên cứu cũng đã đưa ra những cảnh báo về nguy cơ mất an toàn từ các dịch vụ của máy chủ web, đồng thời khuyến nghị về xây dựng chính sách mật khẩu thường xuyên, không nên để các mật khẩu mặc định, vì chúng sẽ dễ dẫn đến các cuộc tấn công, điển hình như Brute-Force của GoBruteforcer.
Hồng Đạt
10:00 | 03/03/2023
10:00 | 31/05/2023
08:00 | 10/02/2023
14:00 | 21/06/2023
09:00 | 12/05/2023
10:00 | 10/07/2023
16:00 | 01/02/2023
09:00 | 02/04/2024
Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
07:00 | 17/01/2024
Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.
07:00 | 16/01/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.
Hơn 50% trong số 90.310 máy chủ được phát hiện đang triển khai dịch vụ Tinyproxy trên Internet dễ bị tấn công bởi một lỗ hổng bảo mật nghiêm trọng chưa được vá trong công cụ proxy HTTP/HTTPS.
09:00 | 21/05/2024