GoBruteforcer: Mã độc mới xâm phạm máy chủ web thông qua tấn công Brute-Force

08:00 | 22/03/2023 | HACKER / MALWARE

GoBruteforcer là một chủng mã độc mới phát triển gần đây dựa trên ngôn ngữ lập trình Golang và được các tin tặc sử dụng để lây nhiễm vào mạng botnet trên các máy chủ chạy một số dịch vụ như phpMyAdmin, MySQL, FTP và Postgres.

GoBruteforcer: Mã độc mới xâm phạm máy chủ web thông qua tấn công Brute-Force

Theo nhóm nghiên cứu về thông tin mối đe dọa toàn cầu Unit 42 tới từ hãng bảo mật Palo Alto Networks (Mỹ) cho biết: “GoBruteforcer sử dụng một mô-đun dò quét nhiều lần trong Classless Inter Domain Routing - CIDR (một phương pháp định vị địa chỉ IP) để dò quét mạng trong quá trình tấn công và nhắm mục tiêu đến tất cả các địa chỉ IP trong phạm vi CIDR đó. Tin tặc lựa chọn phương pháp CIDR để có quyền truy cập vào nhiều loại máy chủ mục tiêu trên các dãy địa chỉ IP khác nhau trong mạng, qua đó làm tăng bề mặt phạm vi tấn công, thay vì sử dụng một địa chỉ IP duy nhất làm mục tiêu”.

GoBruteforcer được thiết kế và tương thích với các kiến trúc x86, x64 và ARM, mã độc này cố gắng giành quyền truy cập thông qua một cuộc tấn công Brute-Force các tài khoản có mật khẩu yếu hoặc mật khẩu mặc định để xâm nhập vào các thiết bị dễ bị tấn công.

Đối với mỗi địa chỉ IP được nhắm mục tiêu, mã độc sẽ bắt đầu quét các dịch vụ phpMyAdmin, MySQL, FTP và Postgres. Sau khi phát hiện một cổng mở chấp nhận kết nối, nó sẽ cố gắng đăng nhập bằng thông tin đăng nhập được mã hóa cứng.

Chuỗi tấn công của GoBruteforcer

GoBruteforcer sử dụng một tập lệnh độc hại PHP Webshell đã được cài đặt trong máy chủ nạn nhân để thu thập thêm thông tin chi tiết về mạng mục tiêu. Sau khi xâm nhập thành công, GoBruteforcer sẽ triển khai bot Internet Relay Chat (IRC) trên các các hệ thống máy chủ dịch vụ của nạn nhân được nhắm mục tiêu. Trong giai đoạn tiếp theo của cuộc tấn công, mã độc sẽ liên lạc với máy chủ C2 do tin tặc kiểm soát và chờ lệnh thực thi được gửi qua bot IRC hoặc Webshell đã cài đặt trước đó.

Phát hiện này là một dấu hiệu khác cho thấy các tin tặc đang ngày càng áp dụng Golang để phát triển các chủng mã độc đa nền tảng. Hơn nữa, khả năng dò quét nhiều lần của GoBruteforcer cho phép mã độc này tìm kiếm thêm được nhiều mục tiêu, khiến nó trở thành một mối đe dọa tiềm tàng.

Unit 42 cho biết thêm: “GoBruteforcer triển khai từ xa nhiều loại phần mềm độc hại khác nhau dưới dạng payload, bao gồm cả mã độc đào tiền ảo coinminers. Chúng tôi tin rằng GoBruteforcer đang được phát triển tích cực, với các nhà phát triển của mã độc này được dự báo sẽ điều chỉnh và thay đổi các phương thức, kỹ thuật của họ và các tính năng của mã độc để mở rộng các mục tiêu, đồng thời lẩn tránh việc bị phát hiện và vượt qua các biện pháp bảo mật”.

Các máy chủ web luôn là mục tiêu tiềm tàng của tin tặc, do đó, các nhà nghiên cứu cũng đã đưa ra những cảnh báo về nguy cơ mất an toàn từ các dịch vụ của máy chủ web, đồng thời khuyến nghị về xây dựng chính sách mật khẩu thường xuyên, không nên để các mật khẩu mặc định, vì chúng sẽ dễ dẫn đến các cuộc tấn công, điển hình như Brute-Force của GoBruteforcer.

Hồng Đạt

‹ › ×

Tin liên quan

FortiGuard Labs cảnh báo: Các hoạt động liên quan đến mã độc Wiper đã gia tăng hơn 50%

10:00 | 03/03/2023

Mới đây, FortiGuard Labs đã công bố bản báo cáo mới nhất về toàn cảnh các mối đe dọa toàn cầu nửa cuối năm 2022 và đưa ra những lời khuyên từ những chuyên gia. Trong bối cảnh các mối đe dọa và bề mặt tấn công của các tổ chức liên tục thay đổi, tội phạm mạng cũng có thể thiết kế và điều chỉnh các kỹ thuật của chúng cho phù hợp nhằm tiếp tục gây thiệt hại cho các tổ chức, doanh nghiệp thuộc mọi lĩnh vực và trên mọi khu vực địa lý.

Tấn công mở khóa điện thoại thông minh bằng phương pháp Brute Force vân tay bảo mật

10:00 | 31/05/2023

Vừa qua, các nhà nghiên cứu bảo mật từ Tencent Labs và Đại học Chiết Giang (Trung Quốc) đã phát hiện ra trong một số trường hợp tin tặc có thể vượt qua bước xác thực bảo mật vân tay để xâm nhập điện thoại thông minh, bằng cách sử dụng phương pháp tấn công Brute Force để phá vỡ dấu vân tay, nhằm bỏ qua phần xác thực người dùng và chiếm quyền kiểm soát thiết bị.

34 ứng dụng chứa mã độc có khả năng điều khiển và theo dõi điện thoại từ xa

08:00 | 10/02/2023

Mới đây, các chuyên gia bảo mật của công ty an ninh mạng ThreatFabric (Hà Lan) đã phát hiện một số ứng dụng có chứa mã độc, cho phép tin tặc giám sát và theo dõi điện thoại của người dùng từ xa.

Cảnh báo mã độc mới SpectralViper nhắm mục tiêu tấn công tại Việt Nam

14:00 | 21/06/2023

Các tổ chức, doanh nghiệp tại Việt Nam hiện đang là mục tiêu của chiến dịch tấn công mạng đang diễn ra nhằm triển khai backdoor mới có tên là “SpectralViper” dựa trên lỗ hổng SMB. Chiến dịch này được các nhà nghiên cứu tại Công ty an ninh mạng Elastic Security Labs (Singapore) phát hiện và theo dõi từ vài tháng trước.

Phần mềm độc hại EvilExtractor được rao bán trên Dark Web

09:00 | 12/05/2023

Mới đây, một phần mềm độc hại có thể đánh cắp thông tin có tên EvilExtractor đã được rao bán trên chợ đen (Dark Web). Được quảng cáo là cung cấp tất cả tính năng trong một phần mềm, mã độc này được rao bán cho những kẻ tấn công với mục đích đánh cắp dữ liệu và tệp từ hệ thống Windows.

Chiến dịch gián điệp mạng sử dụng mã độc RDStealer đánh cắp dữ liệu chia sẻ trên Remote Desktop

10:00 | 10/07/2023

Vừa qua, theo báo cáo từ công ty an ninh mạng Bitderfender (Romani) cho biết, một chiến dịch tấn công gián điệp mạng có chủ đích sử dụng mã độc mới được viết bằng ngôn ngữ lập trình Golang có tên là “RDStealer” đã được các tin tặc thực hiện nhằm đánh cắp dữ liệu từ các ổ đĩa được chia sẻ thông qua ứng dụng kết nối từ xa Remote Desktop Protocol (RDP).

ChatGPT bị lợi dụng để viết mã độc

16:00 | 01/02/2023

Kể từ khi ra mắt phiên bản beta vào tháng 11/2022, chatbot AI ChatGPT đã được sử dụng cho nhiều nhiệm vụ, bao gồm viết thơ, bài viết kỹ thuật, tiểu thuyết, tiểu luận và lập kế hoạch cho các bữa tiệc cũng như tìm hiểu về các chủ đề mới.... Giờ đây, ChatGPT có thể bị lợi dụng để phát triển phần mềm độc hại.

Tin cùng chuyên mục

Chiến dịch phần mềm Sign1 đã xâm phạm hơn 39.000 trang web WordPress

09:00 | 02/04/2024

Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.

Tin tặc Nga có liên quan đến cuộc tấn công mạng lớn nhất từ trước đến nay vào cơ sở hạ tầng quan trọng của Đan Mạch

13:00 | 26/02/2024

Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.

Các tài khoản chính phủ và doanh nghiệp trên X bị tin tặc chiếm đoạt nhằm mục tiêu lừa đảo tiền điện tử

07:00 | 17/01/2024

Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.

Tin tặc Triều Tiên phát triển backdoor mới trên macOS

07:00 | 16/01/2024

Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.