Rommel Joven เจ้าหน้าที่ของ FortiGuard Lab ได้พบการโจมตีของมัลแวร์ StealthWorkerซึ่งมีลักษณะการโจมตีแบบ Golang หรือที่รู้จักกันในชื่อ GoBrut มัลแวร์ StealthWorker นั้นสามารถใช้ประโยชน์จากช่องโหว่เพื่อเข้าสู่ระบบของ Magento, phpMyAdmin, และ cPanel Content Management Systems (CMSs) ได้ ทำให้แฮกเกอร์สามารถเข้าควบคุมเว็บไซต์ได้
เมื่อมัลแวร์ฝังตัวอยู่บนเครื่องเป้าหมายแล้วจะสร้าง scheduled tasks บน Windows และ Linux โดยคัดลอกตัวมันเองลงในโฟลเดอร์ Startup หรือโฟลเดอร์ /tmp จากนั้นจะทำการตั้งค่า crontab (คำสั่งที่จะทำงานตามเวลาที่กำหนด) ภาพด้านล่างจะเป็นเป้าหมายของมัลแวร์
เมื่อดำเนินการทุกอย่างเสร็จสิ้นแล้ว มันจะเปลี่ยนให้เครื่องของเหยื่อเป็นเครื่อง zombie พร้อมที่แพร่เชื้อต่อไป จากนั้นมัลแวร์จะแจ้งไปที่เซิร์ฟเวอร์ command-and-control (C2) ว่าพร้อมที่จะทำงานแล้ว ดังภาพ
นอกเหนือจากความสามารถในการกระจายมัลแวร์แล้ว StealthWorker ยังสามารถพัฒนาตัวมันเองได้อีกด้วย แฮกเกอร์มันจะใช้มัลแวร์นี้ตรวจสอบว่ามีบริการใดบ้างที่กำลังทำงานอยู่บนเซิร์ฟเวอร์ จากนั้นก็จะทำการโจมตี รายละเอียด ดังตารางที่แสดงด้านล่าง
สำหรับรายละเอียดเกี่ยวกับการโจมตีของมัลแวร์นี้ สามารถดูได้ที่ https://www.fortinet.com/blog/threat-research/new-stealth-worker-campaign-creates-a-multi-platform-army-of-bru.html
ที่มาภาพ: Blepping computer
