اخیرا یک Botnet جدید مبتنی بر Golang شناسایی شده است که سرورهای دارای phpMyAdmin، MySQL، FTP و سرویس های Postgres را اسکن و آلوده می کند.
براساس تحقیقات صورت گرفته این بدافزار با نام GoBruteforcer، به حساب های کاربری با پسورهای ضعیف و پیشفرض حمله کرده و آنها را هک می کند تا به سرورهای آسیب پذیر نفوذ پیدا کند.
برای هر آدرس IP هدف بدافزار مذکور به دنبال سرویس های phpMyAdmin، MySQL، FTP و Postgresبوده و پس از شناسایی یک پورت باز ارتباطی، تلاش می کند تا وارد حسابهای کاربری شود.
زمانی که این بدافزار به حسابی وارد شود، یک بات IRC در سیستم های phpMyAdmin یا پوسته وب PHP روی سرورهای هدف، نصب می کند. در مرحله بعدی از حمله این بدافزار به سرور command and control خود دست پیدا کرده و منتظر دستورالعملهایی که از طریق بات IRC نصب شده با پوسته وب دریافت می شوند، می ماند.
این botnet از ماژول اسکن چندگانه ای استفاده می کند تا بتواند قربانی های بالقوه درون CIDR را شناسایی کند و اهداف مختلفی برای نفوذ به شبکه ها را در اختیار مهاجم قرار میدهد.
قبل از اسکن IP برای حمله، بدافزار GoBruteforcer بلوکی از CIDRها انتخاب کرده و تمام آدرس IPهای موجود در آن دامنه را هدف قرار می دهد.
در واقع بجای تنها هدف قرار دادن یک IP بدافزار از یک بلوک CIDR استفاده کرده تا به رنج زیادی از میزبانها روی آدرس های IP مختلف دسترسی پیدا کند و حمله گسترده تری داشته باشد.
بنظر می رسد این بدافزار تحت توسعه بوده و مهاجمان در حال به کارگیری تاکتیک های مختلف بوده تا ظرفیتهای آن را بالا برده و همچنین از راهکارهای دفاعی امنیتی نیز جلوتر باشند.
