Theo nhóm nghiên cứu về thông tin mối đe dọa toàn cầu Unit 42 tới từ hãng bảo mật Palo Alto Networks (Mỹ) cho biết: “GoBruteforcer sử dụng một mô-đun dò quét nhiều lần trong Classless Inter Domain Routing - CIDR (một phương pháp định vị địa chỉ IP) để dò quét mạng trong quá trình tấn công và nhắm mục tiêu đến tất cả các địa chỉ IP trong phạm vi CIDR đó. Tin tặc lựa chọn phương pháp CIDR để có quyền truy cập vào nhiều loại máy chủ mục tiêu trên các dãy địa chỉ IP khác nhau trong mạng, qua đó làm tăng bề mặt phạm vi tấn công, thay vì sử dụng một địa chỉ IP duy nhất làm mục tiêu”.
GoBruteforcer được thiết kế và tương thích với các kiến trúc x86, x64 và ARM, mã độc này cố gắng giành quyền truy cập thông qua một cuộc tấn công Brute-Force các tài khoản có mật khẩu yếu hoặc mật khẩu mặc định để xâm nhập vào các thiết bị dễ bị tấn công.
Đối với mỗi địa chỉ IP được nhắm mục tiêu, mã độc sẽ bắt đầu quét các dịch vụ phpMyAdmin, MySQL, FTP và Postgres. Sau khi phát hiện một cổng mở chấp nhận kết nối, nó sẽ cố gắng đăng nhập bằng thông tin đăng nhập được mã hóa cứng.
Chuỗi tấn công của GoBruteforcer
GoBruteforcer sử dụng một tập lệnh độc hại PHP Webshell đã được cài đặt trong máy chủ nạn nhân để thu thập thêm thông tin chi tiết về mạng mục tiêu. Sau khi xâm nhập thành công, GoBruteforcer sẽ triển khai bot Internet Relay Chat (IRC) trên các các hệ thống máy chủ dịch vụ của nạn nhân được nhắm mục tiêu. Trong giai đoạn tiếp theo của cuộc tấn công, mã độc sẽ liên lạc với máy chủ C2 do tin tặc kiểm soát và chờ lệnh thực thi được gửi qua bot IRC hoặc Webshell đã cài đặt trước đó.
Phát hiện này là một dấu hiệu khác cho thấy các tin tặc đang ngày càng áp dụng Golang để phát triển các chủng mã độc đa nền tảng. Hơn nữa, khả năng dò quét nhiều lần của GoBruteforcer cho phép mã độc này tìm kiếm thêm được nhiều mục tiêu, khiến nó trở thành một mối đe dọa tiềm tàng.
Unit 42 cho biết thêm: “GoBruteforcer triển khai từ xa nhiều loại phần mềm độc hại khác nhau dưới dạng payload, bao gồm cả mã độc đào tiền ảo coinminers. Chúng tôi tin rằng GoBruteforcer đang được phát triển tích cực, với các nhà phát triển của mã độc này được dự báo sẽ điều chỉnh và thay đổi các phương thức, kỹ thuật của họ và các tính năng của mã độc để mở rộng các mục tiêu, đồng thời lẩn tránh việc bị phát hiện và vượt qua các biện pháp bảo mật”.
Các máy chủ web luôn là mục tiêu tiềm tàng của tin tặc, do đó, các nhà nghiên cứu cũng đã đưa ra những cảnh báo về nguy cơ mất an toàn từ các dịch vụ của máy chủ web, đồng thời khuyến nghị về xây dựng chính sách mật khẩu thường xuyên, không nên để các mật khẩu mặc định, vì chúng sẽ dễ dẫn đến các cuộc tấn công, điển hình như Brute-Force của GoBruteforcer.
Hồng Đạt
10:00 | 03/03/2023
10:00 | 31/05/2023
08:00 | 10/02/2023
14:00 | 21/06/2023
09:00 | 12/05/2023
10:00 | 10/07/2023
16:00 | 01/02/2023
08:00 | 04/05/2024
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
10:00 | 13/03/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024