GoBruteforcer: Mã độc mới xâm phạm máy chủ web thông qua tấn công Brute-Force

08:00 | 22/03/2023 | HACKER / MALWARE

GoBruteforcer là một chủng mã độc mới phát triển gần đây dựa trên ngôn ngữ lập trình Golang và được các tin tặc sử dụng để lây nhiễm vào mạng botnet trên các máy chủ chạy một số dịch vụ như phpMyAdmin, MySQL, FTP và Postgres.

GoBruteforcer: Mã độc mới xâm phạm máy chủ web thông qua tấn công Brute-Force

Theo nhóm nghiên cứu về thông tin mối đe dọa toàn cầu Unit 42 tới từ hãng bảo mật Palo Alto Networks (Mỹ) cho biết: “GoBruteforcer sử dụng một mô-đun dò quét nhiều lần trong Classless Inter Domain Routing - CIDR (một phương pháp định vị địa chỉ IP) để dò quét mạng trong quá trình tấn công và nhắm mục tiêu đến tất cả các địa chỉ IP trong phạm vi CIDR đó. Tin tặc lựa chọn phương pháp CIDR để có quyền truy cập vào nhiều loại máy chủ mục tiêu trên các dãy địa chỉ IP khác nhau trong mạng, qua đó làm tăng bề mặt phạm vi tấn công, thay vì sử dụng một địa chỉ IP duy nhất làm mục tiêu”.

GoBruteforcer được thiết kế và tương thích với các kiến trúc x86, x64 và ARM, mã độc này cố gắng giành quyền truy cập thông qua một cuộc tấn công Brute-Force các tài khoản có mật khẩu yếu hoặc mật khẩu mặc định để xâm nhập vào các thiết bị dễ bị tấn công.

Đối với mỗi địa chỉ IP được nhắm mục tiêu, mã độc sẽ bắt đầu quét các dịch vụ phpMyAdmin, MySQL, FTP và Postgres. Sau khi phát hiện một cổng mở chấp nhận kết nối, nó sẽ cố gắng đăng nhập bằng thông tin đăng nhập được mã hóa cứng.

Chuỗi tấn công của GoBruteforcer

GoBruteforcer sử dụng một tập lệnh độc hại PHP Webshell đã được cài đặt trong máy chủ nạn nhân để thu thập thêm thông tin chi tiết về mạng mục tiêu. Sau khi xâm nhập thành công, GoBruteforcer sẽ triển khai bot Internet Relay Chat (IRC) trên các các hệ thống máy chủ dịch vụ của nạn nhân được nhắm mục tiêu. Trong giai đoạn tiếp theo của cuộc tấn công, mã độc sẽ liên lạc với máy chủ C2 do tin tặc kiểm soát và chờ lệnh thực thi được gửi qua bot IRC hoặc Webshell đã cài đặt trước đó.

Phát hiện này là một dấu hiệu khác cho thấy các tin tặc đang ngày càng áp dụng Golang để phát triển các chủng mã độc đa nền tảng. Hơn nữa, khả năng dò quét nhiều lần của GoBruteforcer cho phép mã độc này tìm kiếm thêm được nhiều mục tiêu, khiến nó trở thành một mối đe dọa tiềm tàng.

Unit 42 cho biết thêm: “GoBruteforcer triển khai từ xa nhiều loại phần mềm độc hại khác nhau dưới dạng payload, bao gồm cả mã độc đào tiền ảo coinminers. Chúng tôi tin rằng GoBruteforcer đang được phát triển tích cực, với các nhà phát triển của mã độc này được dự báo sẽ điều chỉnh và thay đổi các phương thức, kỹ thuật của họ và các tính năng của mã độc để mở rộng các mục tiêu, đồng thời lẩn tránh việc bị phát hiện và vượt qua các biện pháp bảo mật”.

Các máy chủ web luôn là mục tiêu tiềm tàng của tin tặc, do đó, các nhà nghiên cứu cũng đã đưa ra những cảnh báo về nguy cơ mất an toàn từ các dịch vụ của máy chủ web, đồng thời khuyến nghị về xây dựng chính sách mật khẩu thường xuyên, không nên để các mật khẩu mặc định, vì chúng sẽ dễ dẫn đến các cuộc tấn công, điển hình như Brute-Force của GoBruteforcer.

Hồng Đạt

‹ › ×

Tin liên quan

FortiGuard Labs cảnh báo: Các hoạt động liên quan đến mã độc Wiper đã gia tăng hơn 50%

10:00 | 03/03/2023

Mới đây, FortiGuard Labs đã công bố bản báo cáo mới nhất về toàn cảnh các mối đe dọa toàn cầu nửa cuối năm 2022 và đưa ra những lời khuyên từ những chuyên gia. Trong bối cảnh các mối đe dọa và bề mặt tấn công của các tổ chức liên tục thay đổi, tội phạm mạng cũng có thể thiết kế và điều chỉnh các kỹ thuật của chúng cho phù hợp nhằm tiếp tục gây thiệt hại cho các tổ chức, doanh nghiệp thuộc mọi lĩnh vực và trên mọi khu vực địa lý.

Tấn công mở khóa điện thoại thông minh bằng phương pháp Brute Force vân tay bảo mật

10:00 | 31/05/2023

Vừa qua, các nhà nghiên cứu bảo mật từ Tencent Labs và Đại học Chiết Giang (Trung Quốc) đã phát hiện ra trong một số trường hợp tin tặc có thể vượt qua bước xác thực bảo mật vân tay để xâm nhập điện thoại thông minh, bằng cách sử dụng phương pháp tấn công Brute Force để phá vỡ dấu vân tay, nhằm bỏ qua phần xác thực người dùng và chiếm quyền kiểm soát thiết bị.

34 ứng dụng chứa mã độc có khả năng điều khiển và theo dõi điện thoại từ xa

08:00 | 10/02/2023

Mới đây, các chuyên gia bảo mật của công ty an ninh mạng ThreatFabric (Hà Lan) đã phát hiện một số ứng dụng có chứa mã độc, cho phép tin tặc giám sát và theo dõi điện thoại của người dùng từ xa.

Cảnh báo mã độc mới SpectralViper nhắm mục tiêu tấn công tại Việt Nam

14:00 | 21/06/2023

Các tổ chức, doanh nghiệp tại Việt Nam hiện đang là mục tiêu của chiến dịch tấn công mạng đang diễn ra nhằm triển khai backdoor mới có tên là “SpectralViper” dựa trên lỗ hổng SMB. Chiến dịch này được các nhà nghiên cứu tại Công ty an ninh mạng Elastic Security Labs (Singapore) phát hiện và theo dõi từ vài tháng trước.

Phần mềm độc hại EvilExtractor được rao bán trên Dark Web

09:00 | 12/05/2023

Mới đây, một phần mềm độc hại có thể đánh cắp thông tin có tên EvilExtractor đã được rao bán trên chợ đen (Dark Web). Được quảng cáo là cung cấp tất cả tính năng trong một phần mềm, mã độc này được rao bán cho những kẻ tấn công với mục đích đánh cắp dữ liệu và tệp từ hệ thống Windows.

Chiến dịch gián điệp mạng sử dụng mã độc RDStealer đánh cắp dữ liệu chia sẻ trên Remote Desktop

10:00 | 10/07/2023

Vừa qua, theo báo cáo từ công ty an ninh mạng Bitderfender (Romani) cho biết, một chiến dịch tấn công gián điệp mạng có chủ đích sử dụng mã độc mới được viết bằng ngôn ngữ lập trình Golang có tên là “RDStealer” đã được các tin tặc thực hiện nhằm đánh cắp dữ liệu từ các ổ đĩa được chia sẻ thông qua ứng dụng kết nối từ xa Remote Desktop Protocol (RDP).

ChatGPT bị lợi dụng để viết mã độc

16:00 | 01/02/2023

Kể từ khi ra mắt phiên bản beta vào tháng 11/2022, chatbot AI ChatGPT đã được sử dụng cho nhiều nhiệm vụ, bao gồm viết thơ, bài viết kỹ thuật, tiểu thuyết, tiểu luận và lập kế hoạch cho các bữa tiệc cũng như tìm hiểu về các chủ đề mới.... Giờ đây, ChatGPT có thể bị lợi dụng để phát triển phần mềm độc hại.

Tin cùng chuyên mục

Cảnh báo 7 hình thức lừa đảo phổ biến

12:00 | 12/04/2024

Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.

Dự đoán phần mềm tội phạm và các mối đe dọa tài chính vào năm 2024

09:00 | 28/02/2024

Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.

Giải mã mạng botnet NoaBot nhắm mục tiêu khai thác tiền điện tử

15:00 | 26/01/2024

Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.

Hãng viễn thông lớn nhất Ukraine bị tấn công mạng

15:00 | 18/12/2023

Ngày 12/12, Kyivstar - nhà mạng lớn nhất Ukraine hứng chịu một cuộc tấn công mạng lớn, khiến hàng triệu người dùng mất kết nối di động và Internet. Đáng chú ý sự cố gây ảnh hưởng đến hệ thống cảnh báo không kích của nước này.