Лаборатория FortiGuard Labs недавно столкнулась с ранее не сообщавшимся сканером системы управления контентом (CMS) и брутфорсером, написанным на языке программирования Go (также часто называемом Golang). Fortinet присмотрелись к этой вредоносной программе, поскольку на нескольких интернет-форумах ее описывали как установленную на взломанных сайтах WordPress, но в открытом доступе не было никаких аналитических отчетов.
Брутфорсеры Golang не новы. Например, мы уже сообщали о кампании StealthWorker в 2019 году. Этот новый брутфорсер является частью новой кампании, которую мы назвали GoTrim, поскольку она написана на языке Go и использует ":::trim:::" для разделения данных, передаваемых на сервер C2 и обратно.
Подобно StealthWorker, GoTrim также использует сеть ботов для проведения распределенных атак методом грубой силы. Самый ранний обнаруженный нами образец относится к сентябрю 2022 года. На момент написания статьи эта кампания все еще продолжается.
Хотя эта вредоносная программа все еще находится в стадии разработки, тот факт, что она имеет полнофункциональный брутфорсер WordPress в сочетании с методами обхода антиботов, делает ее угрозой, за которой стоит следить - особенно с учетом огромной популярности CMS WordPress, на которой работают миллионы веб-сайтов по всему миру.
Кампании брутфорсинга опасны тем, что могут привести к компрометации сервера и распространению вредоносного ПО. Чтобы снизить этот риск, администраторы сайтов должны убедиться, что для учетных записей пользователей (особенно администраторов) используются надежные пароли. Обновление программного обеспечения CMS и соответствующих плагинов также снижает риск заражения вредоносным ПО путем использования непропатченных уязвимостей.
Indicators of Compromise
URLs
- http://77.73.133.99
- http://77.73.133.99/pause
- http://77.73.133.99/route?alert=1
- http://77.73.133.99/route?index=1
- http://77.73.133.99/selects?bilert=1
- http://77.73.133.99/selects?dram=1
- http://77.73.133.99/taka
- http://77.73.133.99/trester
- http://89.208.107.12
- http://89.208.107.12/selects?param=1
- http://89.208.107.12/selects?walert=1
SHA256
- 2a0397adb55436efa86d8569f78af0934b61f5b430fa00b49aa20a4994b73f4b
- 3188cbe5b60ed7c22c0ace143681b1c18f0e06658a314bdc4c7c4b8f77394729
- 4b6d8590a2db42eda26d017a119287698c5b0ed91dd54222893f7164e40cb508
- 646ea89512e15fce61079d8f82302df5742e8e6e6c672a3726496281ad9bfd8a
- 71453640ebf7cf8c640429a605ffbf56dfc91124c4a35c2ca6e5ac0223f77532
- 80fba2dcc7ea2e8ded32e8f6c145cf011ceb821e57fee383c02d4c5eaf8bbe00
- c33e50c3be111c1401037cb42a0596a123347d5700cee8c42b2bd30cdf6b3be3
- De85f1916d6102fcbaceb9cef988fca211a9ea74599bf5c97a92039ccf2da5f7