一个新的基于Go的僵尸网络被发现使用WordPress内容管理系统(CMS)来扫描和暴力破解自托管网站以夺取目标系统的控制权。我们将这个新的暴力破解程序命名为GoTrim,因为它是用Go语言编写的,并使用'::trim:::'来拆分与C2服务器通信的数据。自2022年9月以来,它被发现使用机器人网络执行分布式暴力攻击并尝试登录目标Web服务器。成功入侵后,攻击者会在新感染的主机上安装一个下载器PHP脚本,该脚本旨在从硬编码URL部署“bot客户端”,有效地将机器添加到不断增长的网络中。目前,GoTrim没有自己的自我传播能力,也不能传播其他恶意软件或隐藏在受感染的系统上。该恶意软件的主要目的是从受控服务器接收更多命令,包括使用提供的凭据对WordPress和OpenCart进行暴力攻击。GoTrim还可以在服务器模式下运行,在该模式下它会启动一个服务器来侦听攻击者通过命令和控制(C2)服务器发送的传入请求。但是,只有当受感染的系统直接连接到Internet时才会发生这种情况。僵尸网络恶意软件的另一个关键特征是它能够在64位Windows上模仿来自MozillaFirefox浏览器的合法请求,以绕过反机器人保护,此外还能解决WordPress网站中存在的CAPTCHA障碍。研究人员说:“虽然这种恶意软件仍在开发中,但它具有功能齐全的WordPress暴力破解程序及其反机器人逃避技术这一事实使其成为值得关注的威胁。”暴力破解活动是危险的,因为它们可能导致服务器受损和恶意软件部署。为降低这种风险,网站管理员应确保用户帐户(尤其是管理员帐户)使用强密码。参考来源:https://thehackernews.com/2022/12/new-gotrim-botnet-attempting-to-break.html
