طبق گزارش پژوهشگران امنیتی F5 Networls، پویش استخراج رمزارزی که بهتازگی کشف شده است بهمنظور هدف قرار دادن سرورهای مبتنیبر لینوکس، یک بدافزار جدید به نام Golang توزیع میکند. به نظر میرسد این عملیات از تاریخ ۱۰ ژوئن آغاز شده است، اما تاکنون موفق شده که چند هزار دستگاه را آلوده کند. عامل تهدید پشت این پویش درحال سوءاستفاده از سرویس pastebin.com برای میزبانی از اسکریپت بَش spearhead است و این بدافزار را در یک وبگاه تجارت الکترونیک چینی آسیبدیده ذخیره میکند.
در این پویش، از آسیبپذیریهایی که معمولاً مورد هدف قرار میگیرند، برای نفوذ به سیستم بهرهبرداری میشود که ازجملهی این اشکالها ThinkPHP (CVE-2019-9082)، Atlassian Confluence (CVE-2019-3396) و Drupal (CVE-2018-7600) هستند.
این بدافزار توزیعشده در زبان برنامهنویسی Go که در گوگل طراحی شده، نوشته شده است. از حدود یک دههی گذشته، تنها در سال گذشته از زبان Go برای اهداف مخرب سوءاستفاده شده است و تنها چند خانوادهی بدافزاری وجود دارد که در این زبان کامپایل شدهاند. این پویش جدید از ۷ روش انتشار مختلف سوءاستفاده میکند که ۴ بهرهبرداری برای برنامههای وب، SSH credential enumeration، Redis database credential enumeration و کلید SSH است.
هنگامی که این بدافزار Redis database را هدف قرار میدهد، ابتدا تلاش میکند تا بدون گواهینامه به درگاه پیشفرض متصل شود، سپس تلاش میکند تا هفت گذوراژهی رایج ازجمله admin، redis، root، ۱۲۳۴۵۶، password، user و test را یک به یک امتحان کند. این بدافزار پس از کشف درگاههای SSH تلاش میکند تا چهار نام کاربری (root, admins, user, test) را با هفت گذرواژهی مذکور امتحان کند. بهعنوان گام نهایی، از یک اسکریپت شِل برای یافتن میزبانهای شناختهشدهی موجود در مسیر SSH استفاده میکند و سپس تلاش میکند تا در SSH به آنها متصل شود و بار دادهی اولیه را در آنها اجرا کند.
هنگامیکه یک سیستم در معرض خطر قرار میگیرد، یک اسکرپیت بَش که از pastebin.com دانلود میشود، چند آرشیو را (که یکی حاوی بدافزار Go است) از یک وبگاه تجارت الکترونیک چینی آسیبدیده واکشی میکند. فایلها دانلود میشوند و در یک مسیر مخفی با آدرس /tmp/.mysqli ذخیره میشوند تا از حذف و گمراه کردن کاربران جلوگیری کنند.
این تهدید تلاش میکند تا کنترلهای امنیتی را در سیستمهای آسیبدیده ازجمله SELinux غیرفعال کند تا از طریق یک فایل ستاپ جدید مخصوص دانلود اسکریپت بش در هر ۱۵ دقیقه، به پایداری برسد. سپس این اسکریپت بدافزار Go را بهعنوان یک سرویس تنظیم میکند. آرشیوهای دانلودشده از وبگاه چینی شامل بدافزار Go اصلی و یک ابزار استخراج مونرو است که از الگوریتم cryptonight استفاده میکند و هشها را به چند استخر عمومی ارسال میکند. ظاهراً مهاجمان تاکنون کمتر از ۲ هزار دلار درآمد کسب کردهاند. همچنین F5 Networls کشف کرد که نویسندهی این بدافزار از نام کاربری Nidaye222 برای ذخیرهی اطلاعات استفاده کرده است که منجر به کشف یک پروفایل گیتهاب با همان نام کاربری شد.