Theo nhóm nghiên cứu về thông tin mối đe dọa toàn cầu Unit 42 tới từ hãng bảo mật Palo Alto Networks (Mỹ) cho biết: “GoBruteforcer sử dụng một mô-đun dò quét nhiều lần trong Classless Inter Domain Routing - CIDR (một phương pháp định vị địa chỉ IP) để dò quét mạng trong quá trình tấn công và nhắm mục tiêu đến tất cả các địa chỉ IP trong phạm vi CIDR đó. Tin tặc lựa chọn phương pháp CIDR để có quyền truy cập vào nhiều loại máy chủ mục tiêu trên các dãy địa chỉ IP khác nhau trong mạng, qua đó làm tăng bề mặt phạm vi tấn công, thay vì sử dụng một địa chỉ IP duy nhất làm mục tiêu”.

GoBruteforcer được thiết kế và tương thích với các kiến ​​trúc x86, x64 và ARM, mã độc này cố gắng giành quyền truy cập thông qua một cuộc tấn công Brute-Force các tài khoản có mật khẩu yếu hoặc mật khẩu mặc định để xâm nhập vào các thiết bị dễ bị tấn công.

Đối với mỗi địa chỉ IP được nhắm mục tiêu, mã độc sẽ bắt đầu quét các dịch vụ phpMyAdmin, MySQL, FTP và Postgres. Sau khi phát hiện một cổng mở chấp nhận kết nối, nó sẽ cố gắng đăng nhập bằng thông tin đăng nhập được mã hóa cứng.

Chuỗi tấn công của GoBruteforcer

GoBruteforcer sử dụng một tập lệnh độc hại PHP Webshell đã được cài đặt trong máy chủ nạn nhân để thu thập thêm thông tin chi tiết về mạng mục tiêu. Sau khi xâm nhập thành công, GoBruteforcer sẽ triển khai bot Internet Relay Chat (IRC) trên các các hệ thống máy chủ dịch vụ của nạn nhân được nhắm mục tiêu. Trong giai đoạn tiếp theo của cuộc tấn công, mã độc sẽ liên lạc với máy chủ C2 do tin tặc kiểm soát và chờ lệnh thực thi được gửi qua bot IRC hoặc Webshell đã cài đặt trước đó.

Phát hiện này là một dấu hiệu khác cho thấy các tin tặc đang ngày càng áp dụng Golang để phát triển các chủng mã độc đa nền tảng. Hơn nữa, khả năng dò quét nhiều lần của GoBruteforcer cho phép mã độc này tìm kiếm thêm được nhiều mục tiêu, khiến nó trở thành một mối đe dọa tiềm tàng.

Unit 42 cho biết thêm: “GoBruteforcer triển khai từ xa nhiều loại phần mềm độc hại khác nhau dưới dạng payload, bao gồm cả mã độc đào tiền ảo coinminers. Chúng tôi tin rằng GoBruteforcer đang được phát triển tích cực, với các nhà phát triển của mã độc này được dự báo sẽ điều chỉnh và thay đổi các phương thức, kỹ thuật của họ và các tính năng của mã độc để mở rộng các mục tiêu, đồng thời lẩn tránh việc bị phát hiện và vượt qua các biện pháp bảo mật”.

Các máy chủ web luôn là mục tiêu tiềm tàng của tin tặc, do đó, các nhà nghiên cứu cũng đã đưa ra những cảnh báo về nguy cơ mất an toàn từ các dịch vụ của máy chủ web, đồng thời khuyến nghị về xây dựng chính sách mật khẩu thường xuyên, không nên để các mật khẩu mặc định, vì chúng sẽ dễ dẫn đến các cuộc tấn công, điển hình như Brute-Force của GoBruteforcer.