来自FortiGuard实验室的研究人员最近观察到一个新的恶意活动，其中幕后攻击者在Windows和Linux系统上分发StealthWorker恶意软件。

StealthWorker

StealthWorker恶意软件（也被称为GoBrut）是一种使用Go语言编写的暴力恶意软件。它与一个受到破坏的电子商务网站相关，其中包含一个窃取个人信息和付款细节的嵌入式读取器。

然而，在攻击者嵌入读取器之前，他们首先需要获得访问其目标后端的权限——通常利用内容管理系统（CMS）或其插件中的漏洞来进入目标系统。另一个更简单的方法是使用暴力攻击。虽然速度很慢，但这种方法对于使用弱密码或常用密码的管理员仍然十分有效。

此恶意软件的早期版本仅针对Windows平台。但是对此版本的开放目录进行更深入的调查后发现，它现在还为Linux平台提供了二进制文件有效负载。值得注意的是，除了恶意功能更加全面之外，新版本StealthWorker还能够破坏多个平台，且该恶意软件也能够完成自我更新。

StealthWorker恶意软件首先创建计划执行，以确保即使在重新启动后恶意软件仍然存在于系统中。根据体系结构的不同，它将删除以下内容：

攻击步骤

在这次新攻击活动中，网络犯罪分子利用暴力方法来针对性攻击具有弱凭据的设备。

在成功感染目标设备后，这一暴力恶意软件将在Windows和Linux系统上创建计划任务，通过将自身复制到Startup文件夹或/ tmp文件夹并分别设置crontab条目来获得持久性。

完成以上操作后，目标设备成为僵尸网络的一部分，StealthWorker将与其C2服务器（5.101.0.13:7000）通信，随时准备好接受各种恶意命令。

从C2服务器接收到主机和凭证列表后，StealthWorker下一步是登录目标主机。登录成功后，恶意软件会将使用过的主机和凭据报告给C2服务器。

结论

研究人员指出，虽然暴力攻击是网络犯罪分子的常见做法，但在大规模分布式攻击活动中使用僵尸网络却并不多见。

网络犯罪分子主要使用StealthWorker恶意软件来检查目标服务器上运行的服务，并暴力攻击不同的服务器。此外，他们还采取了进一步措施来提高他们的成功率，同时能够感染更广泛的平台。

“来自不同源IP地址的分布式暴力攻击可以有效地绕过反暴力解决方案，这些解决方案通常基于阈值，”研究人员在博客中写道。此活动背后的攻击者不仅针对电子商务网站，而且还试图收集使用弱凭据的所有可能易受攻击的系统。

作者：Gump，转载自：http://www.mottoin.com/news/134800.html