GoBruteforcer マルウェア

GoBruteforcer と呼ばれる新しいマルウェアが、サイバーセキュリティの研究者によって発見されました。このマルウェアはプログラミング言語 Go で書かれており、phpMyAdmin、MySQL、FTP、および Postgres を実行している Web サーバーをターゲットにするように特別に設計されています。この脅威の目的は、これらのデバイスを制御してボットネットに追加することです。これにより、さまざまな悪意のある活動に使用できるようになります。この脅威の悪意のある機能に関する詳細は、Palo Alto Networks Unit 42 の情報セキュリティ研究者によるレポートで公開されました。

GoBruteforcer の注目すべき機能の 1 つは、Classless Inter-Domain Routing (CIDR) ブロック スキャンの使用です。この手法により、マルウェアはネットワークをスキャンし、単一の IP アドレスをターゲットとして使用するだけでなく、特定の CIDR 範囲内のすべての IP アドレスをターゲットにすることができます。これにより、マルウェアは、ネットワーク内のさまざまな IP 上のより広範囲のホストにアクセスできます。これにより、ネットワーク管理者が攻撃を検出してブロックすることがより困難になります。

GoBruteforcer マルウェアに感染したデバイスがボットネットに追加される

GoBruteforcer は、x86、x64、および ARM アーキテクチャを実行する Unix に似たプラットフォームをターゲットにするように特別に設計されたマルウェアの一種です。マルウェアは、バイナリにハードコードされた資格情報のリストを使用して、ブルート フォース攻撃によってこれらのデバイスへのアクセスを取得しようとします。成功すると、マルウェアは被害者のサーバーに IRC (インターネット リレー チャット) ボットを展開し、攻撃者が制御するサーバーとの通信を確立します。

ブルート フォース攻撃を使用することに加えて、GoBruteforcer は、被害者のサーバーに既にインストールされている PHP Web シェルも利用します。これにより、マルウェアは標的のネットワークに関するより多くの情報を収集できます。

その有効性にもかかわらず、GoBruteforcer と PHP シェルが最初に標的のデバイスにどのように配信されるかは不明です。ただし、サイバーセキュリティの研究者は、マルウェアの戦術と技術が活発に進化していることに注目しており、その背後にいる開発者が検出を回避し、攻撃の有効性を改善するために継続的に取り組んでいることを示しています.

堅牢なサイバーセキュリティ対策は、ユーザーと組織の両方にとって最優先事項でなければなりません

Web サーバーは、長い間、サイバー攻撃者にとって非常に人気のある標的でした。 Web サーバーは組織のデジタル インフラストラクチャの不可欠なコンポーネントであるため、脆弱なパスワードは重大な脅威につながる可能性があります。 GoBruteforcer などのマルウェアは、弱いパスワードやデフォルトのパスワードを利用してこれらのサーバーへの不正アクセスを取得することで、これらの脆弱性を悪用します。

GoBruteforcer ボットの最も重要な機能の 1 つは、そのマルチスキャン機能です。これにより、広範囲の潜在的な被害者を標的にすることができます。これは、マルウェアの活発な開発と相まって、攻撃者が戦術や手法を変更して、将来的に Web サーバーをより効果的に標的にできることを意味します。したがって、GoBruteforcer のようなマルウェアによる攻撃のリスクを最小限に抑えるために、Web サーバーが強力で一意のパスワードで保護されていることを確認することが不可欠です。