PHPMyAdmin, MySQL, FTP ve Postgres hizmetlerini çalıştıran Web sunucuları için yeni keşfedilen Golang tabanlı Botnet kötü amaçlı yazılım tarar ve enfekte olur.
Palo Alto Networks 'Birimi 42 ile ilk kez vahşi doğada gören ve GobruteForcer olarak adlandırılan araştırmacılara göre, kötü amaçlı yazılım X86, X64 ve ARM mimarileriyle uyumludur.
GobruteForcer, savunmasız *Nix cihazlarına hacklemek için zayıf veya varsayılan şifrelerle güç hesaplarını kuracak.
Araştırmacılar, "Başarılı bir yürütme için, örnekler, kurban sistemi üzerinde kullanılan belirli argümanlar gibi özel koşullar gerektiriyor ve halihazırda kurulmakta olan (zayıf şifrelerle) hedeflenen hizmetler." Dedi.
Hedeflenen her IP adresi için, kötü amaçlı yazılım PhpmyAdmin, MySQL, FTP ve Postgres hizmetlerini taramaya başlar. Bağlantı kabul eden açık bir bağlantı noktası tespit ettikten sonra, sabit kodlu kimlik bilgilerini kullanarak oturum açmaya çalışacaktır.
Bir kez, tehlikeye atılan phpmyAdmin sistemlerine bir IRC botu veya diğer hedeflenen hizmetleri çalıştıran sunucularda bir PHP web kabuğu dağıtır.
Saldırının bir sonraki aşamasında, Gobrutforcer komut ve kontrol sunucusuna ulaşacak ve daha önce yüklenen IRC botu veya web kabuğu aracılığıyla teslim edilecek talimatları bekleyecektir.
Botnet, sınıfsız alanlar arası yönlendirme (CIDR) içinde potansiyel kurbanları bulmak için bir multisan modülü kullanır ve ağlara sızmak için geniş bir hedef seçer.
IP adreslerinin saldırı için taramadan önce, GobruteForcer bir CIDR bloğu seçer ve bu aralıktaki tüm IP adreslerini hedefler.
Tek bir IP'yi hedeflemek yerine, kötü amaçlı yazılım, çeşitli IP adreslerinde çeşitli ana bilgisayarlara erişim için CIDR bloğu taramasını kullanır ve saldırının erişimini artırır.
GobruteForcer muhtemelen aktif geliştirme altındadır, operatörleri taktiklerini ve kötü amaçlı yazılımların web sunucularını hedefleme ve güvenlik savunmalarının önünde kalma yeteneklerini uyarlamaları beklenir.
Unit42, "Bu kötü amaçlı yazılımların, parasallar da dahil olmak üzere çeşitli farklı kötü amaçlı yazılım türlerini uzaktan dağıttığını gördük."
Diyerek şöyle devam etti: "Gobrutorcercinin aktif gelişimde olduğuna inanıyoruz ve bu nedenle ilk enfeksiyon vektörleri veya yükler gibi şeyler yakın gelecekte değişebilir."
Yeni Mirai kötü amaçlı yazılım varyantı, DDOS Botnet'i oluşturmak için Linux cihazlarını enfekte eder
Medusa Botnet, fidye yazılımı sokması ile Mirai tabanlı bir varyant olarak geri döner
Yeni başlık kötü amaçlı yazılım, Monero'ya Minero'ya 1.200 Redis Sunucusuna Enfekte
Casper Saldırısı, hava engelli bilgisayarın dahili hoparlörünü kullanarak verileri çalar
Microsoft Onenote Son kötü amaçlı yazılım istismarından sonra gelişmiş güvenlik elde etmek için
Kaynak: Bleeping Computer