Новости Новый ботнет GoTrim брутфорсит пароли администраторов сайтов WordPress

NewsMaker

I'm just a script
Премиум
8,665
16
8 Ноя 2022

После DDoS-атаки машина жертвы добавляется в ботнет.​


dh61k3n902y48ubg9l1m4wva4s4oql8r.jpg


Исследователи Fortinet FortiGuard Labs Для просмотра ссылки Войди или Зарегистрируйся вредоносную кампанию, в ходе которой новый Для просмотра ссылки Войди или Зарегистрируйся на основе Golang взламывает сайты WordPress, чтобы затем захватить контроль над целевыми системами.

Новый метод Для просмотра ссылки Войди или Зарегистрируйся является частью кампании, которую аналитики назвали GoTrim, потому что она была написана на Go и использует строку ‘:::trim:::’ для разделения данных, передаваемых на C&C-сервер и с него.

GoTrim кампания отслеживается с сентября 2022 года и использует ботнет-сеть для выполнения DDoS-атак при попытке входа на целевой веб-сервер. После взлома оператор устанавливает PHP-скрипт загрузчика на скомпрометированный хост, который предназначен для развертывания «бота-клиента» с жестко заданного URL-адреса, добавляя машину в ботнет.


content-img(954).png

Цепочка атаки GoTrim GoTrim не способен самораспространяться, доставлять другие вредоносные программы или сохранять постоянство в зараженной системе. Основная цель GoTrim:

  • получение дальнейших команд от C&C-сервера;
  • проведение брутфорс-атак на WordPress и OpenCart с использованием набора предоставленных учетных данных;
  • работа в режиме сервера, когда ВПО запускает сервер для прослушивания входящих запросов, отправляемых злоумышленником (только если взломанная система напрямую подключена к Интернету);
  • имитация легитимных запросов браузера Mozilla Firefox в 64-разрядной версии Windows для обхода защиты от ботов;
  • обход защиты CAPTCHA на сайтах WordPress.

Когда несколько фрагментов информации об устройстве отправляются на C&C-сервер, поля разделяются с помощью строки «:::trim:::», отсюда и название компании.

«Хотя это вредоносное ПО все еще находится в стадии разработки, наличие у него полнофункционального инструмента перебора WordPress в сочетании с его методами уклонения от ботов, делает его очень опасным», — говорят исследователи.

Брутфорс-атаки могут привести к компрометации сервера и развертыванию вредоносных программ. Чтобы снизить этот риск, администраторы веб-сайтов должны убедиться, что учетные записи пользователей (особенно учетные записи администраторов) используют надежные пароли.
 
Источник новости
https://www.securitylab.ru/news/535286.php

Похожие темы