Атаки на ботнет мрежата на GoBruteforcer
Подновена вълна от активност на GoBruteforcer е насочена активно към бази данни, свързани с проекти за криптовалути и блокчейн. Нападателите кооптират уязвими сървъри в разпределена ботнет мрежа, способна да извършва мащабни атаки с груба сила срещу често срещани услуги, включително FTP, MySQL, PostgreSQL и phpMyAdmin на Linux системи.
Тази кампания не е безразборна. Доказателствата показват ясен фокус върху инфраструктурата, свързана с блокчейн екосистемите, което отразява както финансовата мотивация, така и изобилието от слабо защитени среди за разработка в този сектор.
Съдържание
Защо тази кампания набира скорост
Две сходящи тенденции подхранват настоящия бум. Първо, администраторите все по-често използват повторно ръководства за внедряване, генерирани от изкуствен интелект, и примери за сървъри, много от които възпроизвеждат същите слаби потребителски имена и идентификационни данни по подразбиране, открити в онлайн уроци и документация. Второ, остарелите уеб стекове, особено XAMPP инсталациите, продължават да се внедряват с открити FTP услуги и административни интерфейси, които нямат адекватна защита.
Заедно тези условия осигуряват на атакуващите предвидима и плодородна повърхност за атака.
От произхода през 2023 г. до по-опасен вариант от 2025 г.
GoBruteforcer, известен още като GoBrut, е документиран за първи път през март 2023 г. Ранни изследвания описват семейство зловреден софтуер, базирано на Golang, предназначено за Unix-подобни системи с архитектури x86, x64 и ARM. Той е внедрил IRC бот за командване и контрол, инсталирал е уеб обвивка за постоянен отдалечен достъп и е извличал модул за груба сила, за да сканира за допълнителни уязвими хостове.
До септември 2025 г. изследователите откриха, че части от ботнета работят съвместно с друг щам на зловреден софтуер, SystemBC, което показва споделена инфраструктура или координиран контрол.
Средата на 2025 г. бележи значителен технически скок. Анализаторите идентифицираха по-усъвършенстван вариант, включващ силно обфускиран IRC бот, пренаписан на Golang, подобрени механизми за постоянство, възможности за маскиране на процеси и динамично управлявани списъци с идентификационни данни, които могат да се актуализират при поискване.
Стратегия за удостоверяване на идентификационни данни, оформена от изкуствен интелект и навици на разработчиците
Компонентът за груба сила на зловредния софтуер разчита на подбрани комбинации от често срещани потребителски имена и пароли, като например „myuser:Abcd@123“ или „appeaser:admin123456“. Това не са случайни избори. Много от тях произхождат от уроци за бази данни, документация за хостинг и примери от доставчици – материали, които са широко използвани в големи корпуси за обучение на езикови модели. В резултат на това инструментите с изкуствен интелект често възпроизвеждат едни и същи настройки по подразбиране в генерираните фрагменти от конфигурация, като неволно стандартизират слабите идентификационни данни в различните внедрявания.
Допълнителните потребителски имена в ротацията се отнасят до работни процеси с криптовалути (като „cryptouser“, „appcrypto“, „crypto_app“ и „crypto“) или са насочени специално към phpMyAdmin среди, включително „root“, „wordpress“ и „wpuser“.
Атакуващите поддържат относително малък, стабилен набор от пароли за всяка кампания, като обновяват списъците за всяка задача от тази база, като същевременно ротират потребителските имена и добавят нови пароли към нишови групи няколко пъти седмично. FTP атаките се третират по различен начин: двоичният файл на bruteforcer съдържа твърдо кодиран набор от идентификационни данни, който е точно съпоставим със стековете по подразбиране за уеб хостинг и сервизните акаунти.
Веригата за заразяване и възможностите на ботнет мрежата
Наблюдаваните прониквания най-често започват с FTP услуга, достъпна през интернет, на XAMPP сървър. След като получат достъп, нападателите качват PHP уеб shell. След това този shell се използва за извличане и изпълнение на актуализиран IRC бот чрез shell скрипт, съобразен с архитектурата на хоста.
След компрометиране, заразената система може да бъде пренасочена по няколко начина:
- Той изпълнява модули за груба сила, за да се опитва да влезе в FTP, MySQL, PostgreSQL и phpMyAdmin услуги в интернет.
- Той хоства и разпространява злонамерени полезни товари към новокомпрометирани машини.
- Той предоставя крайни точки за командване и контрол в стил IRC или функционира като резервен C2 сървър за подобряване на устойчивостта на ботнет мрежи.
Директни доказателства за операции, фокусирани върху блокчейн
По-нататъшно разследване разкри, че поне един компрометиран сървър е инсталирал специализиран модул, предназначен да обхожда списък с блокчейн адреси на TRON. Използвайки публичната услуга tronscanapi.com, зловредният софтуер е проверявал салдата по сметките, за да идентифицира портфейли, съдържащи ненулеви средства. Тази възможност силно подсказва за умишлено разузнаване, насочено към блокчейн проекти и свързана с криптовалути инфраструктура, а не само за опортюнистично сканиране.
Постоянен урок за защитниците
GoBruteforcer илюстрира по-широк, продължаващ провал в сигурността: опасното пресичане на открити услуги, слаби или рециклирани идентификационни данни и все по-автоматизирани инструменти за атаки. Въпреки че самата ботнет мрежа не е технически революционна, нейните оператори се възползват изключително много от огромния обем неправилно конфигурирани сървъри, които все още са достъпни в публичния интернет.
За защитниците тази кампания подсилва познато, но критично послание: елиминирайте идентификационните данни по подразбиране, ограничете административните интерфейси, оттеглете наследените стекове и третирайте генерираните от изкуствен интелект примери за внедряване като ненадеждни отправни точки, а не като готови за производство конфигурации.
