Support technique
Documentation
Connexion
Nous contacter
L'unité 42 de Palo Alto découvre un nouveau logiciel malveillant GoBruteforcer
Le 22 mars 2023 - L'équipe de relations publiques de TuxCare
Les chercheurs de l'Unit42 de Palo Alto Networks ont découvert un nouveau logiciel malveillant GoBruteforcer qui cible phpMyAdmin, MySQL, FTP et Postgres. Le nouveau logiciel malveillant de botnet basé sur Golang recherche et infecte les serveurs web utilisant les services phpMyAdmin, MySQL, FTP et Postgres.
Selon les chercheurs : "Pour une exécution réussie, les échantillons requièrent des conditions particulières dans le système de la victime, telles que des arguments spécifiques utilisés et des services ciblés déjà installés (avec des mots de passe faibles)."
Le logiciel malveillant commence à rechercher les services phpMyAdmin, MySQL, FTP et Postgres pour chaque adresse IP ciblée. Il tente de se connecter à l'aide d'informations d'identification codées en dur après avoir détecté un port ouvert acceptant les connexions.
Lorsqu'il obtient l'accès, il installe un robot IRC sur les systèmes phpMyAdmin compromis ou un shell web PHP sur les serveurs hébergeant d'autres services ciblés. GoBruteforcer se connecte ensuite à son serveur de commande et de contrôle et attend que des instructions lui soient communiquées par l'intermédiaire du bot IRC ou du shell web précédemment installé.
GoBruteforcer, qui semble être encore en cours de développement, comprend UPX Packer et un module multi-scan permettant d'identifier les ports ouverts pour les services ciblés. Une fois qu'un port est identifié, il force brutalement le serveur à l'aide d'informations d'identification codées en dur. Il recherche tout port 80 ouvert pour les services phpMyAdmin avant de tenter de déployer le bot IRC pour la communication.
Pour les services MySQL et Postgres, le logiciel malveillant vérifie si les ports 3306 et 5432 sont ouverts, puis interroge la base de données de l'hôte à l'aide d'informations d'identification spécifiques. Pour les services FTP, il vérifie si le port 21 est ouvert, puis tente de s'authentifier à l'aide de la bibliothèque Goftp. Les échantillons de logiciels malveillants GoBruteforcer sont emballés avec UPX Packer. Lors du décompactage d'un échantillon (SHA256
ebe11121aafdac5d8f2eecba710ba85efa31617a5eb825ba2e89e23379b26b84). Par ailleurs, le GoBruteforcer dispose d'un module multiscan qu'il utilise pour rechercher les hôtes à l'intérieur d'un CIDR pour son attaque.
"Nous avons vu ce logiciel malveillant déployer à distance différents types de logiciels malveillants en tant que charges utiles, y compris des monnayeurs. Nous pensons que GoBruteforcer est en cours de développement et que, par conséquent, les vecteurs d'infection initiaux ou les charges utiles pourraient changer dans un avenir proche", ont déclaré les chercheurs.
Les hachages du logiciel malveillant GoBruteforcer ciblent principalement les plates-formes de type Unix (*nix), avec des versions pour les architectures x86, x64 et ARM. Il est probable qu'il s'agisse de leur système d'exploitation de prédilection, car les systèmes d'exploitation *nix sont un choix populaire pour l'hébergement de serveurs. GoBruteforcer étant en cours de développement, les vecteurs d'infection initiaux et les charges utiles pourraient changer dans un avenir proche.
Les sources de cet article comprennent un article de BleepingComputer.
