Найти в Дзене
IS-Systems
68 подписчиков

Новый ботнет «GoTrim» пытается взломать админки сайтов на WordPress.

5
1 мин
Новый ботнет на языке Go был замечен за сканированием и брутфорсом веб-сайтов, использующих систему управления контентом WordPress (CMS), для захвата контроля над целевыми системами. «Этот брутфорсер является частью новой кампании, которую мы назвали GoTrim, поскольку она написана на языке Go и использует ':::trim:::' для разделения данных, передаваемых на командно-контрольный (CnC) сервер и с него» - сообщили исследователи Fortinet FortiGuard Labs Эдуардо Альтарес, Джои Сальвио и Рой Тэй. Активная кампания, наблюдаемая с сентября 2022 года, использует сеть ботов для проведения распределенных атак методом перебора паролей в попытке войти на целевой веб-сервер. После успешного взлома оператор устанавливает на новом взломанном узле PHP-скрипт, который, в свою очередь, предназначен для развертывания «бот-клиента» по жестко заданному URL-адресу, добавляя машину в растущую сеть. В своем нынешнем виде GoTrim не обладает способностью к самораспространению, не может распространять д

Новый ботнет на языке Go был замечен за сканированием и брутфорсом веб-сайтов, использующих систему управления контентом WordPress (CMS), для захвата контроля над целевыми системами.

«Этот брутфорсер является частью новой кампании, которую мы назвали GoTrim, поскольку она написана на языке Go и использует ':::trim:::' для разделения данных, передаваемых на командно-контрольный (CnC) сервер и с него» - сообщили исследователи Fortinet FortiGuard Labs Эдуардо Альтарес, Джои Сальвио и Рой Тэй.

Активная кампания, наблюдаемая с сентября 2022 года, использует сеть ботов для проведения распределенных атак методом перебора паролей в попытке войти на целевой веб-сервер.

После успешного взлома оператор устанавливает на новом взломанном узле PHP-скрипт, который, в свою очередь, предназначен для развертывания «бот-клиента» по жестко заданному URL-адресу, добавляя машину в растущую сеть.

-2

В своем нынешнем виде GoTrim не обладает способностью к самораспространению, не может распространять другие вредоносные программы и сохранять устойчивость в зараженной системе.

Основная цель вредоноса - получение дальнейших команд от сервера, контролируемого злоумышленником, которые включают проведение атак методом перебора на WordPress и OpenCart с использованием набора учетных данных.

-3

В качестве альтернативы GoTrim может функционировать в режиме сервера, когда он запускает сервер для прослушивания входящих запросов, отправленных атакующим через командно-контрольный сервер. Однако это происходит только в том случае, если взломанная система напрямую подключена к Интернету.

Еще одной ключевой особенностью ботнета является способность имитировать легитимные запросы от браузера Mozilla Firefox на 64-битных Windows для обхода защиты от ботов, в дополнение к решению барьеров CAPTCHA, присутствующих на сайтах WordPress.

«Хотя эта вредоносная программа все еще находится в стадии разработки, тот факт, что она имеет полнофункциональный брутфорсер WordPress в сочетании с ее методами обхода анти-ботов, делает ее угрозой, за которой стоит следить» - заявляют исследователи.

«Кампании брутфорсинга опасны, поскольку они могут привести к компрометации сервера и распространению вредоносного ПО. Чтобы снизить этот риск, администраторы сайтов должны убедиться, что учетные записи пользователей (особенно администраторов) используют надежные пароли».

Источник: https://is-systems.org

Гаджеты и электроника
5,73 млн интересуются