新型 Golang 蠕虫传播恶意软件

自12月初以来，一种新发现的、基于Golang的自我传播的恶意软件一直在Windows和Linux服务器上主动运行XMRig加密货币矿机程序。Intezer安全研究员Avigayil Mechtinger透露，这个多平台的恶意软件还具有蠕虫功能，可以通过用弱密码强行使用面向公众的服务(即MySQL、Tomcat、Jenkins和WebLogic)传播到其他系统。

自首次发现该蠕虫以来，背后的攻击者一直通过其命令和控制（C2）服务器积极更新该蠕虫的功能，这暗示着该蠕虫依然是一个积极维护的恶意软件。

C2服务器用于托管bash或PowerShell滴管脚本（取决于目标平台），一个基于Golang的二进制蠕虫，以及部署的XMRig矿工，以在受感染的设备上偷偷挖掘不可追踪的Monero加密货币（门罗币）。

该蠕虫通过使用密码喷洒式攻击和硬编码凭证列表扫描和强行通过MySQL、Tomcat和Jenkins服务传播到其他计算机。该蠕虫的旧版本还试图利用CVE-2020-14882 Oracle WebLogic远程代码执行漏洞。一旦它成功入侵其中一台目标服务器，就会部署加载器脚本（Linux的ld.sh和Windows的ld.ps1），该脚本的载荷会同时投放XMRig矿工程序和基于Golang的蠕虫二进制代码。

如果恶意软件检测到受感染的系统正在监听52013端口，它将自动杀死自己。如果该端口未被使用，蠕虫将打开自己的网络套接字。

要防御这种新的多平台蠕虫发动的蛮力攻击，网络管理员应该限制登录条件，并在所有暴露在互联网上的服务上使用难以猜测的密码，以及尽可能使用双因素认证。

（消息来源：cnBeta；封面来自网络）