Обнаружено новое вредоносное ПО GoBruteforcer, написанное на Go и нацеленное на веб-серверы, на которых работают phpMyAdmin, MySQL, FTP и Postgres. На зараженных машинах были обнаружены веб-шеллы PHP, которые предоставляют злоумышленникам возможность создавать реверсивные шеллы и связывать шеллы.
Эксперты Palo Alto Networks сообщают, что вредоносное ПО в основном ориентировано на Unix-системы и платформы с архитектурами x86, x64 и ARM. GoBruteforcer проверяет цели грубой силы, используя список жестко заданных учетных данных.
“GoBruteforcer выбирает блок CIDR (Бесклассовая междоменная маршрутизация) для сканирования сети во время атак и нацеливания на все IP-адреса в этом диапазоне. Злоумышленники решили сканировать блоки CIDR, чтобы получить доступ к широкому кругу целевых хостов с разными IP-адресами, вместо того, чтобы использовать в качестве цели один IP-адрес», — пишут исследователи.
Аналитики считают, что GoBruteforcer все еще находится в стадии разработки. Вредонос упакован с UPX и имеет модуль мультисканирования, который используется для обнаружения открытых портов для целевых сервисов. Как только порт идентифицирован, вредоносное ПО использует жестко закодированные учетные данные и переходит к грубой силе.
Так, для phpMyAdmin зловред ищет открытый порт 80, для MySQL и Postgres проверяются порты 3306 и 5432, а затем GoBruteforcer пингует базу данных хоста, используя некоторые учетные данные. Для FTP вредоносное ПО проверяет наличие открытого порта 21, а затем пытается пройти аутентификацию с помощью Goftp.
В случае успеха атаки на взломанный сервер развертывается IRC-бот, через который устанавливается соединение с сервером хакеров. Затем GoBruteforcer использует веб-оболочку PHP, установленную на сервере жертвы, для получения более подробной информации о целевой сети.
Точный вектор, используемый для доставки самого GoBruteforcer и веб-шелла, еще предстоит определить. Данные, собранные исследователями, свидетельствуют о том, что операторы GoBruteforcer идут на многое, чтобы избежать обнаружения.
«Веб-серверы всегда были выгодными целями для злоумышленников», — заключили эксперты. «Слабые пароли могут представлять серьезную опасность, поскольку веб-серверы являются неотъемлемой частью почти каждой организации. Вредоносное программное обеспечение, такое как GoBruteforcer, использует слабые пароли и пароли по умолчанию».