GoBruteforcer 라고 불리는 새로운 Golang 기반 멀웨어가 phpMyAdmin, MySQL, FTP 및 Postgres를 실행하는 웹 서버를 대상으로 장치를 봇넷으로 몰아넣는 것으로 발견되었습니다.
Palo Alto Networks Unit 42의 연구원들은 "GoBruteforcer는 공격 중에 네트워크를 스캔하기 위해 CIDR (Classless Inter-Domain Routing) 블록을 선택했으며 해당 CIDR 범위 내의 모든 IP 주소를 표적으로 삼았습니다." 라고 밝혔습니다 .
"공격자는 단일 IP 주소를 대상으로 사용하는 대신 네트워크 내의 서로 다른 IP에 있는 광범위한 대상 호스트에 액세스하는 방법으로 CIDR 블록 스캐닝을 선택했습니다."
GoBruteforcer는 주로 x86, x64 및 ARM 아키텍처를 실행하는 Unix와 유사한 플랫폼을 선별하도록 설계되었으며 악성코드는 바이너리에 하드 코딩된 자격 증명 목록을 사용하여 무차별 대입 공격을 통해 액세스를 시도합니다
공격이 성공하면 IRC (Internet Relay Chat ) 봇이 피해자 서버에 배치되어 행위자가 제어하는 서버와의 통신을 설정합니다.
GoBruteforcer는 또한 피해자 서버에 이미 설치된 PHP 웹 셸을 활용하여 대상 네트워크에 대한 자세한 정보를 수집합니다.
출처
https://thehackernews.com/2023/03/gobruteforcer-new-golang-based-malware.html
GoBruteforcer: New Golang-Based Malware Breaches Web Servers via Brute-Force Attacks
GoBruteforcer has been found targeting web servers running phpMyAdmin, MySQL, FTP, and Postgres to corral the devices into a botnet.
thehackernews.com
'Code::보안이슈' 카테고리의 다른 글
| VMware ESXi 서버를 노리는 대규모 랜섬웨어 공격 (0) | 2023.02.10 |
|---|---|
| 보안분석 : 입사지원서를 위장한 LockBit 랜섬웨어 악성메일 유포 주의 확장자 (.zip, .alz) (2022.09.20 추가) (0) | 2022.09.20 |
| 보안분석 : doc 매크로 파일을 위장한 악성메일 유포 주의 (2019.12.03) (0) | 2019.12.03 |
| 보안분석 : 입사지원서를 위장한 첨부파일(.7z) 악성메일 유포 주의 추가 (2019.10.08) (0) | 2019.10.08 |
| 보안분석 : 국세청을 위장한 첨부파일(.html) 악성메일 유포 주의 (2019.05.30) (0) | 2019.05.30 |