Go 언어로 작성 된 새로운 봇넷인 GoTrim이 WordPress로 개발 된 웹 사이트들에 대한 자동화 크랙을 통해 제어권한을 확보하고 있는 것이 확인되었다.
Go 언어로 작성된 해당 봇넷은 '::::trim:::'을 사용하여 C2 서버와 통신하는 데이터를 분할한다.
2022년 9월부터는 봇넷을 통해 분산식 Brute Force 공격으로 표적 웹사이트를 공격한 후 웹 서버에 접속했다. 공격에 성공하면 해커는 피해 서버에 PHP로 작성 된 다운로더를 업로드 한다. 해당 PHP파일은 하드 코딩된 URL에서 '봇 클라이언트'를 받아 피해 서버를 봇넷의 좀비로 추가시킨다.
현재로선 GoTrim이 자체 전파 능력이 있다는것은 확인되지 않았고, 다른 악성코드를 배포하거나 감염된 시스템에 장기간 체류 할 수도 없다. 이 멀웨어의 주요 기능은 제공된 계정정보들을 통해 WordPress 및 OpenCart에 대한 Brute Force 공격을 포함하여 피해 서버에 더 많은 명령어를 하달하는 것이다.
GoTrim은 C2 서버를 통해 공격자가 보내는 요청을 받기 위해 서버 모드에서도 실행할 수 있다. 그러나 이는 피해 시스템이 인터넷에 직접 연결되어 있을 때만 가능하다.
봇넷의 또 다른 주요 특징은 64비트 Windows의 Mozilla Firefox 브라우저 요청을 모방하여 안티로봇 장치를 우회할 수 있으며 WordPress 사이트에 존재하는 CAPTCHA 도 우회 할 수 있다는 것이다.
연구진은 "해당 악성코드가 아직 개발 중이지만 WordPress의 강력한 해킹 프로그램과 안티로봇 회피 기술을 갖추고 있다는 사실은 주목할 만한 위협"이라고 말했다.
Brute Force 공격은 서버를 파괴하고 악성코드를 유포할 수 있기 때문에 위험하다. 이러한 위험을 줄이기 위해 사이트 관리자는 사용자 계정(특히 관리자 계정)이 강력한 암호를 사용하도록 해야 한다.
출처: https://thehackernews.com/2022/12/new-gotrim-botnet-attempting-to-break.html
'보안이야기 > 보안뉴스' 카테고리의 다른 글
무더기로 털린 한국 사이트들 (0) | 2023.02.28 |
---|---|
(과거 기록 방출)중국해커에게 털린 한게임 (0) | 2023.02.09 |
암호화폐 채굴장 BTC.com 해킹으로 300만 달러 탈취 돼 (0) | 2022.12.28 |
트위터 이용자 4억명 데이터 털렸다! (0) | 2022.12.26 |
다중 취약점을 이용하는 Golang기반 봇넷 - Zerobot (0) | 2022.12.19 |