Malware botnet berbasis Golang yang baru ditemukan memindai dan menginfeksi server web yang menjalankan layanan phpMyAdmin, MySQL, FTP, dan Postgres.
Menurut para peneliti dengan Unit 42 Jaringan Palo Alto, yang pertama kali melihatnya di alam liar dan menyebutnya GoBruteforcer, malware tersebut kompatibel dengan arsitektur x86, x64, dan ARM.
GoBruteforcer akan memaksa akun dengan kata sandi yang lemah atau default untuk meretas ke perangkat * nix yang rentan.
“Agar eksekusi berhasil, sampel memerlukan kondisi khusus pada sistem korban seperti argumen khusus yang digunakan dan layanan target yang sudah diinstal (dengan kata sandi yang lemah),” para peneliti dikatakan.
Untuk setiap alamat IP yang ditargetkan, malware mulai memindai layanan phpMyAdmin, MySQL, FTP, dan Postgres. Setelah mendeteksi port terbuka yang menerima koneksi, ia akan mencoba masuk menggunakan kredensial hard-coded.
Setelah masuk, itu menyebarkan bot IRC pada sistem phpMyAdmin yang disusupi atau shell web PHP pada server yang menjalankan layanan target lainnya.
Pada fase serangan berikutnya, GoBruteforcer akan menjangkau server perintah-dan-kontrolnya dan menunggu instruksi yang akan dikirimkan melalui bot IRC atau web shell yang diinstal sebelumnya.
Botnet menggunakan modul multiscan untuk menemukan calon korban dalam Classless Inter-Domain Routing (CIDR), memberikan pilihan target yang luas untuk menyusup ke jaringan.
Sebelum memindai alamat IP yang akan diserang, GoBruteforcer memilih blok CIDR dan akan menargetkan semua alamat IP dalam rentang tersebut.
Daripada menargetkan satu IP, malware menggunakan pemindaian blok CIDR untuk akses ke berbagai host di berbagai alamat IP, meningkatkan jangkauan serangan.
GoBruteforcer kemungkinan sedang dalam pengembangan aktif, dengan operatornya diharapkan menyesuaikan taktik mereka dan kemampuan malware untuk menargetkan server web dan tetap berada di depan pertahanan keamanan.
“Kami telah melihat malware ini menyebarkan berbagai jenis malware dari jarak jauh sebagai muatan, termasuk penambang koin,” tambah Unit42.
“Kami percaya bahwa GoBruteforcer sedang dalam pengembangan aktif, dan dengan demikian, hal-hal seperti vektor infeksi awal atau muatan dapat berubah dalam waktu dekat.”
