🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Botnet GoTrim mới đang nhắm mục tiêu vào tài khoản quản trị của các trang web WordPress

15/12/2022

Một mạng botnet dựa trên Go mới được phát hiện đã quét và tấn công brute-force vào các trang web tự lưu trữ đang sử dụng hệ thống quản lý nội dung (CMS) WordPress để giành quyền kiểm soát các hệ thống bị nhắm mục tiêu.

Các nhà nghiên cứu của Fortinet FortiGuard Labs cho biết "hành động này là một phần của chiến dịch mới được đặt tên là GoTrim vì nó được viết bằng Go và sử dụng ':::trim:::' để phân chia dữ liệu truyền/nhận với máy chủ do kẻ tấn công kiểm soát (C2)".

Chiến dịch vẫn đang hoạt động, được phát hiện từ tháng 9 năm 2022, sử dụng mạng botnet để thực hiện các cuộc tấn công brute-force nhằm cố gắng đăng nhập vào máy chủ web mục tiêu.

Sau khi đột nhập thành công, kẻ tấn công sẽ cài đặt một công cụ downloader PHP trong máy chủ nạn nhân. Công cụ này được thiết kế để triển khai "máy khách bot" (bot client), biến máy nạn nhân trở thành một phần của mạng botnet.

Ở phiên bản hiện tại, GoTrim không có khả năng tự lây lan sang các máy khác, cũng như không thể phát tán phần mềm độc hại khác hoặc duy trì sự tồn tại trong hệ thống bị nhiễm.

Mục đích chính của mã độc này là nhận lệnh từ máy chủ C2, bao gồm tiến hành các cuộc tấn công brute-force chống lại WordPress và OpenCart bằng cách sử dụng một bộ thông tin đăng nhập có sẵn.

Ngoài ra, GoTrim có thể hoạt động ở chế độ máy chủ để nhận các request đến do tác nhân đe dọa gửi thông qua máy chủ C2. Tuy nhiên, điều này chỉ xảy ra khi hệ thống bị xâm phạm được kết nối trực tiếp với Internet.

Một tính năng đáng chú ý khác của mã độc botnet là khả năng bắt chước các yêu cầu hợp pháp từ trình duyệt Mozilla Firefox trên Windows 64 bit để vượt qua các biện pháp bảo vệ anti-bot, bên cạnh khả năng vượt qua hạn chế CAPTCHA có trong các trang web WordPress.

Các nhà nghiên cứu cho biết: “Mặc dù phần mềm độc hại này vẫn đang trong quá trình hoàn thiện, nhưng thực tế là nó có đầy đủ tính năng brute force WordPress kết hợp với các kỹ thuật lẩn tránh hệ thống chống bot khiến nó trở thành một mối đe dọa cần theo dõi”.

"Các chiến dịch brute-force rất nguy hiểm vì chúng có thể dẫn đến việc xâm phạm máy chủ và triển khai mã độc. Để giảm thiểu rủi ro này, quản trị viên trang web nên đảm bảo rằng tài khoản người dùng (đặc biệt là tài khoản quản trị viên) sử dụng mật khẩu mạnh".

Nguồn: thehackernews.com.

scrolltop