عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة هجمات شبكة بوتات GoBruteforcer

هجمات شبكة بوتات GoBruteforcer

بواسطة Mezo في البرمجيات الخبيثة, شبكات الروبوتات
ترجمة الى:

تشن مجموعة GoBruteforcer موجة جديدة من الهجمات تستهدف بنشاط قواعد البيانات المرتبطة بمشاريع العملات المشفرة وتقنية البلوك تشين. ويقوم المهاجمون باستغلال الخوادم الضعيفة وتحويلها إلى شبكة بوتات موزعة قادرة على شن هجمات تخمين كلمات المرور واسعة النطاق ضد خدمات شائعة، بما في ذلك FTP وMySQL وPostgreSQL وphpMyAdmin على أنظمة لينكس.

هذه الحملة ليست عشوائية. تشير الأدلة إلى تركيز واضح على البنية التحتية المرتبطة بأنظمة البلوك تشين، مما يعكس كلاً من الدافع المالي ووفرة بيئات التطوير غير الآمنة في هذا القطاع.

لماذا تكتسب هذه الحملة زخماً؟

هناك اتجاهان متقاربان يُغذيان هذا الارتفاع الحالي. أولاً، يُعيد المسؤولون استخدام أدلة النشر وأمثلة الخوادم المُولّدة بواسطة الذكاء الاصطناعي بشكل متزايد، والتي يُكرر الكثير منها أسماء المستخدمين وبيانات الاعتماد الافتراضية الضعيفة نفسها الموجودة في الدروس التعليمية والوثائق المتاحة عبر الإنترنت. ثانياً، لا تزال حزم الويب القديمة، وخاصةً تثبيتات XAMPP، تُنشر مع خدمات FTP مكشوفة وواجهات إدارية تفتقر إلى الحماية الكافية.

توفر هذه الظروف مجتمعة للمهاجمين سطح هجوم يمكن التنبؤ به ومناسب للهجوم.

من أصول عام 2023 إلى نسخة أكثر خطورة في عام 2025

تم توثيق برنامج GoBruteforcer، المعروف أيضًا باسم GoBrut، لأول مرة في مارس 2023. وصفت الأبحاث الأولية عائلة برمجيات خبيثة مبنية على لغة البرمجة Golang، مصممة لأنظمة شبيهة بنظام Unix على معمارية x86 وx64 وARM. وقد نشر البرنامج روبوت IRC للتحكم والسيطرة، وثبّت واجهة ويب للوصول عن بُعد بشكل دائم، واستعاد وحدة هجومية لفحص الأجهزة المضيفة المعرضة للخطر.

بحلول سبتمبر 2025، اكتشف الباحثون أن أجزاء من شبكة الروبوتات كانت تعمل بالتزامن مع سلالة أخرى من البرامج الضارة، SystemBC، مما يشير إلى بنية تحتية مشتركة أو تحكم منسق.

شهد منتصف عام 2025 قفزة تقنية كبيرة. فقد حدد المحللون نسخة أكثر تطوراً تتميز ببرنامج روبوت IRC مشفر بشكل كبير تمت إعادة كتابته بلغة Golang، وآليات استمرارية محسنة، وقدرات إخفاء العمليات، وقوائم بيانات اعتماد مُدارة ديناميكياً يمكن تحديثها عند الطلب.

استراتيجية الاعتماد تتشكل بفعل الذكاء الاصطناعي وعادات المطورين

يعتمد مكون الاختراق العشوائي في البرمجية الخبيثة على مجموعات مُنتقاة من أسماء المستخدمين وكلمات المرور الشائعة، مثل 'myuser:Abcd@123' أو 'appeaser:admin123456'. هذه ليست اختيارات عشوائية، بل إن العديد منها مأخوذ من دروس قواعد البيانات، ووثائق الاستضافة، وأمثلة الموردين - وهي مواد تم دمجها على نطاق واسع في مجموعات بيانات تدريب نماذج اللغة الضخمة. ونتيجة لذلك، غالبًا ما تُعيد أدوات الذكاء الاصطناعي إنتاج نفس الإعدادات الافتراضية في مقتطفات التكوين المُولّدة، مما يُوحّد، دون قصد، بيانات الاعتماد الضعيفة عبر عمليات النشر.

تشير أسماء المستخدمين الإضافية في التناوب إلى سير عمل العملات المشفرة (مثل 'cryptouser' و'appcrypto' و'crypto_app' و'crypto') أو تستهدف على وجه التحديد بيئات phpMyAdmin، بما في ذلك 'root' و'wordpress' و'wpuser'.

يحتفظ المهاجمون بمجموعة صغيرة نسبياً من كلمات المرور الثابتة لكل حملة، ويُحدّثون قوائم كلمات المرور لكل مهمة من تلك القاعدة، مع تغيير أسماء المستخدمين وإضافة كلمات مرور متخصصة عدة مرات في الأسبوع. أما هجمات بروتوكول نقل الملفات (FTP) فتُعامل بشكل مختلف: إذ يحتوي برنامج الاختراق على مجموعة بيانات اعتماد مُبرمجة مسبقاً تُطابق إلى حد كبير إعدادات استضافة المواقع الإلكترونية وحسابات الخدمة الافتراضية.

سلسلة العدوى وقدرات شبكة الروبوتات

تبدأ عمليات الاختراق المرصودة في أغلب الأحيان بخدمة FTP مكشوفة على الإنترنت على خادم XAMPP. بمجرد الحصول على الوصول، يقوم المهاجمون بتحميل غلاف ويب PHP. ثم يُستخدم هذا الغلاف لجلب وتشغيل روبوت IRC مُحدّث عبر نص برمجي مُصمّم خصيصًا لبنية الخادم.

بعد الاختراق، يمكن إعادة استخدام النظام المصاب بعدة طرق:

  • يقوم بتشغيل وحدات القوة الغاشمة لمحاولة تسجيل الدخول إلى خدمات FTP وMySQL وPostgreSQL وphpMyAdmin عبر الإنترنت.
  • يقوم هذا النظام باستضافة وتوزيع البرامج الضارة على الأجهزة التي تم اختراقها حديثًا.
  • يوفر نقاط نهاية للتحكم والسيطرة على غرار بروتوكول IRC أو يعمل كخادم C2 احتياطي لتحسين مرونة شبكات الروبوتات.

دليل مباشر على العمليات التي تركز على تقنية البلوك تشين

كشف تحقيق إضافي أن خادمًا واحدًا على الأقل مخترقًا كان يُشغّل وحدة برمجية متخصصة مصممة للتكرار عبر قائمة عناوين بلوك تشين ترون. وباستخدام خدمة tronscanapi.com العامة، استعلمت البرمجية الخبيثة عن أرصدة الحسابات لتحديد المحافظ التي تحتوي على أموال غير صفرية. تشير هذه القدرة بقوة إلى استطلاع مُتعمّد يستهدف مشاريع البلوك تشين والبنية التحتية المتعلقة بالعملات المشفرة، وليس مجرد مسح عشوائي.

درسٌ لا يُنسى للمدافعين

يُجسّد برنامج GoBruteforcer خللاً أمنياً أوسع نطاقاً ومستمراً: يتمثل في التداخل الخطير بين الخدمات المكشوفة، وبيانات الاعتماد الضعيفة أو المُعاد استخدامها، وأدوات الهجوم الآلية المتزايدة. ورغم أن شبكة الروبوتات نفسها ليست ابتكاراً تقنياً ثورياً، إلا أن مُشغّليها يستفيدون بشكل كبير من العدد الهائل من الخوادم المُهيأة بشكل خاطئ والتي لا تزال متاحة على الإنترنت العام.

بالنسبة للمدافعين، تعزز هذه الحملة رسالة مألوفة ولكنها بالغة الأهمية: التخلص من بيانات الاعتماد الافتراضية، وتقييد واجهات الإدارة، وإيقاف تشغيل الحزم القديمة، والتعامل مع أمثلة النشر التي تم إنشاؤها بواسطة الذكاء الاصطناعي كنقاط بداية غير موثوقة بدلاً من كونها تكوينات جاهزة للإنتاج.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
29,007
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...