GoScanSSH phần mềm độc hại không lây nhiễm chính phủ và quân sự mạng

Computer Security News

Chuyên gia bảo mật Cisco Talos tìm thấy một mảnh mới của phần mềm độc hại được gọi là GoScanSSH. Theo các chuyên gia, các mối đe dọa mới được sử dụng để thỏa hiệp máy chủ SSH tiếp xúc trực tuyến.

Phần mềm độc hại GoScanSSH được viết bằng ngôn ngữ lập trình đi, mà là khá phổ biến cho các phần mềm độc hại phát triển, và nó có tính năng rất thú vị. Trong số này là một thực tế rằng phần mềm độc hại tránh lây nhiễm cho các thiết bị trên mạng quân sự và chính phủ.

“Talos xác định được một gia đình phần mềm độc hại mới đã được sử dụng để thỏa hiệp máy chủ SSH tiếp xúc với internet. Phần mềm độc hại này, mà chúng tôi đã đặt tên GoScanSSH, được viết bằng cách sử dụng ngôn ngữ lập trình đi và trưng bày một số đặc điểm thú vị.” phân tích được đăng bởi Talos kỳ.

Theo các nhà nghiên cứu, các nhà phát triển phần mềm độc hại đã tạo ra duy nhất những chương trình phần mềm độc hại đối với mỗi nhiễm hệ thống và có GoScanSSH lệnh và kiểm soát (C2) cơ sở hạ tầng tận dụng dịch vụ proxy Tor2Web làm khó theo dõi của C & C cơ sở hạ tầng và đàn hồi cho takedowns.

Phần mềm độc hại GoScanSSH tiến hành brute-lực tấn công có thể truy cập các máy chủ SSH cho phép xác thực SSH dựa trên mật khẩu.

Danh sách từ những kẻ tấn công sử dụng chứa hơn 7.000 username/ kết hợp mật khẩu. Một khi phần mềm độc hại phát hiện ra một bộ ủy nhiệm hợp lệ, nhị phân phần mềm độc hại GoScanSSH độc đáo đang tạo ra và tải lên máy chủ SSH bị xâm phạm được thực hiện sau đó.

Trong quá trình quét cho các máy chủ SSH dễ bị tổn thương, phần mềm độc hại GoScanSSH ngẫu nhiên tạo ra địa chỉ IP, tránh chuyên dụng địa chỉ. Sau đó, các mối đe dọa so sánh từng địa chỉ IP vào danh sách của CIDR khối phần mềm độc hại sẽ cố gắng không để quét do thực tế rằng họ là chính phủ và quân sự mạng phạm vi.

Theo các nhà nghiên cứu, GoScanSSH được phát triển để tránh phạm vi được giao cho bộ quốc phòng Hoa Kỳ, và chỉ có một trong các phạm vi mạng được gán cho một tổ chức ở Hàn Quốc.

Các chuyên gia an ninh đăng ký hơn 70 mẫu phần mềm độc hại duy nhất kết hợp với gia đình phần mềm độc hại GoScanSSH, và một số mẫu đã được biên dịch để hỗ trợ nhiều hệ thống kiến trúc bao gồm cả x86, x86_64, cánh tay và MIPS64.

Ngoài ra còn có nhiều phiên bản (ví dụ, phiên bản 1.2.2, 1.2.4, 1.3.0, vv) của các mối đe dọa, gợi ý các hacker đằng sau GoScanSSH tiếp tục cải thiện mã độc hại.

Các chuyên gia cho rằng những kẻ tấn công là tốt Ensur và với quan trọng kỹ năng và họ có lẽ sẽ cố gắng để thỏa hiệp các mạng lớn hơn.

Những người sáng tạo của GoScanSSH đã được hoạt động kể từ tháng 6 năm 2017 và kể từ đó, họ đã bố trí 70 các phiên bản phần mềm độc hại khác nhau bằng cách sử dụng khác biệt hơn 250 C & C máy chủ.

Phân tích dữ liệu DNS thụ động có liên quan đến tất cả các lĩnh vực C2 được thu thập từ tất cả các mẫu phân tích xác nhận rằng số lượng các hệ thống bị nhiễm bệnh là hiện đang thấp.

“Trong việc phân tích dữ liệu DNS thụ động có liên quan đến tất cả các lĩnh vực C2 được thu thập từ tất cả các mẫu Talos phân tích, giải quyết những nỗ lực đã được thấy hẹn hò trở lại ngày 19 tháng 6 năm 2017, chỉ ra rằng các chiến dịch tấn công này đã được liên tục ít nhất chín tháng. Ngoài ra, tên miền C2 với số lượng lớn nhất của nghị quyết yêu cầu đã được nhìn thấy lần 8,579.” phân tích Talos đọc.


Leave a Reply

Your email address will not be published. Required fields are marked *