新的GoTrim僵尸网络试图闯入WordPress网站

一种新的基于Go的僵尸网络被发现使用WordPress内容管理系统（CMS）扫描和暴力强制自托管网站，以控制目标系统。

Fortinet FortiGuard实验室的研究人员Eduardo Altares、Joie Salvio和Roy Tay表示：“这个新的强力器是我们命名为GoTrim的新活动的一部分，因为它是在Go中编写的，并使用'：：：trim:：：'来分割与C2服务器通信的数据”。

自2022年9月以来观察到的这场活动利用机器人网络进行分布式暴力攻击，试图登录目标web服务器。

成功闯入后，运营商在新入侵的主机中安装了一个下载器PHP脚本，该脚本反过来被设计为从硬编码的URL部署“机器人客户端”，从而有效地将机器添加到不断增长的网络中。

在目前的形式中，GoTrim没有自己的自我传播能力，也不能分发其他恶意软件或在受感染的系统中保持持久性。

恶意软件的主要目的是从参与者控制的服务器接收进一步的命令，包括使用一组提供的凭据对WordPress和OpenCart进行暴力攻击。

GoTrim也可以在服务器模式下运行，在该模式下，GoTrim启动服务器以监听威胁行为者通过命令和控制（C2）服务器发送的传入请求。然而，只有当被破坏的系统直接连接到互联网时，才会发生这种情况。

僵尸网络恶意软件的另一个关键特征是，除了解决WordPress网站中存在的CAPTCHA障碍外，它还能够模拟64位Windows上Mozilla Firefox浏览器发出的合法请求，以绕过反机器人保护。

研究人员表示：“尽管这个恶意软件仍在开发中，但它有一个功能齐全的WordPress暴力破解器，再加上它的反机器人规避技术，这使得它成为一个值得警惕的威胁”。

“暴力强制活动是危险的，因为它们可能会导致服务器受损和恶意软件部署。为了减轻这种风险，网站管理员应确保用户帐户（特别是管理员帐户）使用强密码”。