GoTrim Botnet IOCs

botnet IOC

Лаборатория FortiGuard Labs недавно столкнулась с ранее не сообщавшимся сканером системы управления контентом (CMS) и брутфорсером, написанным на языке программирования Go (также часто называемом Golang). Fortinet присмотрелись к этой вредоносной программе, поскольку на нескольких интернет-форумах ее описывали как установленную на взломанных сайтах WordPress, но в открытом доступе не было никаких аналитических отчетов.

Брутфорсеры Golang не новы. Например, мы уже сообщали о кампании StealthWorker в 2019 году. Этот новый брутфорсер является частью новой кампании, которую мы назвали GoTrim, поскольку она написана на языке Go и использует ":::trim:::" для разделения данных, передаваемых на сервер C2 и обратно.

Подобно StealthWorker, GoTrim также использует сеть ботов для проведения распределенных атак методом грубой силы. Самый ранний обнаруженный нами образец относится к сентябрю 2022 года. На момент написания статьи эта кампания все еще продолжается.

Хотя эта вредоносная программа все еще находится в стадии разработки, тот факт, что она имеет полнофункциональный брутфорсер WordPress в сочетании с методами обхода антиботов, делает ее угрозой, за которой стоит следить - особенно с учетом огромной популярности CMS WordPress, на которой работают миллионы веб-сайтов по всему миру.

Кампании брутфорсинга опасны тем, что могут привести к компрометации сервера и распространению вредоносного ПО. Чтобы снизить этот риск, администраторы сайтов должны убедиться, что для учетных записей пользователей (особенно администраторов) используются надежные пароли. Обновление программного обеспечения CMS и соответствующих плагинов также снижает риск заражения вредоносным ПО путем использования непропатченных уязвимостей.

Indicators of Compromise

URLs

  • http://77.73.133.99
  • http://77.73.133.99/pause
  • http://77.73.133.99/route?alert=1
  • http://77.73.133.99/route?index=1
  • http://77.73.133.99/selects?bilert=1
  • http://77.73.133.99/selects?dram=1
  • http://77.73.133.99/taka
  • http://77.73.133.99/trester
  • http://89.208.107.12
  • http://89.208.107.12/selects?param=1
  • http://89.208.107.12/selects?walert=1

SHA256

  • 2a0397adb55436efa86d8569f78af0934b61f5b430fa00b49aa20a4994b73f4b
  • 3188cbe5b60ed7c22c0ace143681b1c18f0e06658a314bdc4c7c4b8f77394729
  • 4b6d8590a2db42eda26d017a119287698c5b0ed91dd54222893f7164e40cb508
  • 646ea89512e15fce61079d8f82302df5742e8e6e6c672a3726496281ad9bfd8a
  • 71453640ebf7cf8c640429a605ffbf56dfc91124c4a35c2ca6e5ac0223f77532
  • 80fba2dcc7ea2e8ded32e8f6c145cf011ceb821e57fee383c02d4c5eaf8bbe00
  • c33e50c3be111c1401037cb42a0596a123347d5700cee8c42b2bd30cdf6b3be3
  • De85f1916d6102fcbaceb9cef988fca211a9ea74599bf5c97a92039ccf2da5f7
SEC-1275-1
Добавить комментарий