После DDoS-атаки машина жертвы добавляется в ботнет.
Исследователи Fortinet FortiGuard Labs обнаружили вредоносную кампанию, в ходе которой новый ботнет на основе Golang взламывает сайты WordPress, чтобы затем захватить контроль над целевыми системами.
Новый метод брутфорса является частью кампании, которую аналитики назвали GoTrim, потому что она была написана на Go и использует строку ‘:::trim:::’ для разделения данных, передаваемых на C&C-сервер и с него.
GoTrim кампания отслеживается с сентября 2022 года и использует ботнет-сеть для выполнения DDoS-атак при попытке входа на целевой веб-сервер. После взлома оператор устанавливает PHP-скрипт загрузчика на скомпрометированный хост, который предназначен для развертывания «бота-клиента» с жестко заданного URL-адреса, добавляя машину в ботнет.
Цепочка атаки GoTrim
GoTrim не способен самораспространяться, доставлять другие вредоносные программы или сохранять постоянство в зараженной системе. Основная цель GoTrim:
Когда несколько фрагментов информации об устройстве отправляются на C&C-сервер, поля разделяются с помощью строки «:::trim:::», отсюда и название компании.
«Хотя это вредоносное ПО все еще находится в стадии разработки, наличие у него полнофункционального инструмента перебора WordPress в сочетании с его методами уклонения от ботов, делает его очень опасным», — говорят исследователи.
Брутфорс-атаки могут привести к компрометации сервера и развертыванию вредоносных программ. Чтобы снизить этот риск, администраторы веб-сайтов должны убедиться, что учетные записи пользователей (особенно учетные записи администраторов) используют надежные пароли.
Но доступ к знаниям открыт для всех