Yeni bir Go tabanlı botnet, hedeflenen sistemlerin kontrolünü ele geçirmek için WordPress içerik yönetim sistemini (CMS) kullanarak kendi kendine barındırılan web sitelerini tararken ve kaba kuvvet uygularken tespit edildi.
Fortinet FortiGuard Labs araştırmacısı Eduardo Altares, “Bu yeni kaba kuvvet GoTrim adını verdiğimiz yeni kampanyanın bir parçası çünkü Go’da yazılmış ve ‘:::trim:::’ kullanarak C2 sunucusuna iletilen ve sunucudan iletilen verileri ayırıyor.” , Joie Salvio ve Roy Tay söz konusu.
Eylül 2022’den beri gözlemlenen aktif kampanya, hedeflenen web sunucusuna giriş yapmak amacıyla dağıtılmış kaba kuvvet saldırıları gerçekleştirmek için bir bot ağı kullanıyor.
Başarılı bir izinsiz girişin ardından, operatörün güvenliği ihlal edilmiş yeni ana bilgisayara bir indirici PHP betiği kurması gelir; bu da, “bot istemcisini” sabit kodlu bir URL’den dağıtmak ve makineyi büyüyen ağa etkili bir şekilde eklemek için tasarlanmıştır.
Mevcut haliyle, GoTrim’in kendi kendini yayma yetenekleri yoktur ve diğer kötü amaçlı yazılımları dağıtamaz veya virüslü sistemde kalıcılığı sürdüremez.
Kötü amaçlı yazılımın birincil amacı, sağlanan kimlik bilgilerini kullanarak WordPress ve OpenCart’a yönelik kaba kuvvet saldırıları gerçekleştirmeyi içeren, aktör tarafından kontrol edilen bir sunucudan başka komutlar almaktır.
GoTrim alternatif olarak, komut ve kontrol (C2) sunucusu aracılığıyla tehdit aktörü tarafından gönderilen istekleri dinlemek için bir sunucuyu başlattığı bir sunucu modunda çalışabilir. Ancak bu, yalnızca ihlal edilen sistem doğrudan İnternet’e bağlı olduğunda gerçekleşir.
Botnet kötü amaçlı yazılımının bir başka önemli özelliği de, WordPress sitelerinde bulunan CAPTCHA engellerini çözmenin yanı sıra, botlara karşı korumaları atlamak için 64-bit Windows’ta Mozilla Firefox tarayıcısından gelen meşru istekleri taklit edebilmesidir.
Araştırmacılar, “Bu kötü amaçlı yazılım hala devam eden bir çalışma olmasına rağmen, tamamen işlevsel bir WordPress kaba kuvvet uygulamasına sahip olması, bot önleme teknikleriyle birleştiğinde, onu izlenmesi gereken bir tehdit haline getiriyor” dedi.
“Kaba kuvvet kampanyaları, sunucu güvenliğinin aşılmasına ve kötü amaçlı yazılım dağıtımına yol açabileceğinden tehlikelidir. Bu riski azaltmak için, web sitesi yöneticileri, kullanıcı hesaplarının (özellikle yönetici hesaplarının) güçlü parolalar kullanmasını sağlamalıdır.”
