I ricercatori dell’Unità 42 di Palo Alto Networks hanno recentemente scoperto un nuovo campione di malware basato su Golang, soprannominato GoBruteforcer, che prende di mira i server Web, in particolare quelli che eseguono i servizi phpMyAdmin, MySQL, FTP and Postgres.
Il linguaggio di programmazione Go, noto anche come Golang, è un linguaggio più recente che sta diventando sempre più popolare tra i programmatori di malware. Ha dimostrato di essere abbastanza versatile da sviluppare tutti i tipi di malware, inclusi ransomware, stealer o trojan di accesso remoto (RAT). Le botnet basate su Golang, in particolare, sembrano guadagnare l’interesse dei threat actor, spiegano gli esperti.
GoBruteforcer è un nuovo tipo di botnet malware. L’autore della minaccia ha scelto un blocco Classless Inter-Domain Routing (CIDR) per la scansione della rete durante l’attacco e ha preso di mira tutti gli indirizzi IP all’interno di tale intervallo CIDR. Tale scelta è stata optata dal threat actor come un modo per ottenere l’accesso a un’ampia gamma di host su diversi IP all’interno di una rete, invece di utilizzare un singolo indirizzo IP come target.
Una volta trovato un host, GoBruteforcer tenta di ottenere l’accesso al server tramite attacchi brute force e, dopo aver ottenuto l’accesso, distribuisce un bot IRC contenente l’URL dell’aggressore.
Successivamente, GoBruteforcer tenta anche di interrogare il sistema della vittima utilizzando una web shell PHP. Gli esperti spiegano che questa web shell era già stata distribuita sul server della vittima.
Per compromettere un sistema di destinazione, i campioni richiedono condizioni speciali su di esso, come l’uso di argomenti specifici e servizi mirati già installati (con password deboli).
Una volta che il modulo multi-scan ha identificato le porte aperte per i servizi mirati, esegue un attacco brute force contro il server utilizzando un set di credenziali.
Gli esperti spiegano che il vettore iniziale della campagna GoBruteforcer e PHP web shell non è ancora noto.
La botnet prende di mira principalmente architetture di processori x86, x64 e ARM.
I ricercatori ritengono che GoBruteforcer sia in fase di sviluppo attivo e, pertanto, cose come i vettori di infezione iniziale o i payload potrebbero cambiare nel prossimo futuro.
Gli esperti hanno riferito che il bot esegue la scansione di qualsiasi porta aperta 80 per indirizzare i servizi phpMyAdmin. Per i servizi MySQL e Postgres, il malware esegue la scansione delle porte aperte 3306 e 5432, quindi esegue il ping del database dell’host con un determinato nome utente e password. Quando prende di mira i servizi FTP, il malware controlla la porta aperta 21, quindi tenta di autenticarsi utilizzando la libreria Goftp, che è un pacchetto client FTP per Golang.
“I server Web sono sempre stati un obiettivo redditizio per gli attori delle minacce. Le password deboli potrebbero portare a gravi minacce poiché i server Web sono una parte indispensabile di un’organizzazione. Malware come GoBruteforcer sfrutta password deboli (o predefinite). Il bot GoBruteforcer è dotato di una funzionalità multiscan, che gli offre un’ampia gamma di obiettivi che può utilizzare per entrare in una rete. Anche GoBruteforcer sembra essere in fase di sviluppo attivo, quindi gli aggressori potrebbero cambiare le tecniche che utilizzano per prendere di mira i server Web nel prossimo futuro”, conclude Palo Alto Networks.
https://unit42.paloaltonetworks.com/gobruteforcer-golang-botnet/
https://securityaffairs.com/143435/malware/golang-based-botnet-gobruteforcer.html
