- 13,896
- 20
- 8 Ноя 2022
После DDoS-атаки машина жертвы добавляется в ботнет.
Исследователи Fortinet FortiGuard Labs Для просмотра ссылки Войди
Новый метод Для просмотра ссылки Войди
GoTrim кампания отслеживается с сентября 2022 года и использует ботнет-сеть для выполнения DDoS-атак при попытке входа на целевой веб-сервер. После взлома оператор устанавливает PHP-скрипт загрузчика на скомпрометированный хост, который предназначен для развертывания «бота-клиента» с жестко заданного URL-адреса, добавляя машину в ботнет.
Цепочка атаки GoTrim GoTrim не способен самораспространяться, доставлять другие вредоносные программы или сохранять постоянство в зараженной системе. Основная цель GoTrim:
- получение дальнейших команд от C&C-сервера;
- проведение брутфорс-атак на WordPress и OpenCart с использованием набора предоставленных учетных данных;
- работа в режиме сервера, когда ВПО запускает сервер для прослушивания входящих запросов, отправляемых злоумышленником (только если взломанная система напрямую подключена к Интернету);
- имитация легитимных запросов браузера Mozilla Firefox в 64-разрядной версии Windows для обхода защиты от ботов;
- обход защиты CAPTCHA на сайтах WordPress.
Когда несколько фрагментов информации об устройстве отправляются на C&C-сервер, поля разделяются с помощью строки «:::trim:::», отсюда и название компании.
«Хотя это вредоносное ПО все еще находится в стадии разработки, наличие у него полнофункционального инструмента перебора WordPress в сочетании с его методами уклонения от ботов, делает его очень опасным», — говорят исследователи.
Брутфорс-атаки могут привести к компрометации сервера и развертыванию вредоносных программ. Чтобы снизить этот риск, администраторы веб-сайтов должны убедиться, что учетные записи пользователей (особенно учетные записи администраторов) используют надежные пароли.
- Источник новости
- https://www.securitylab.ru/news/535286.php
