Rabattilbud med flere licenser
Trusseldatabase Malware GoBruteforcer Botnet-angreb

GoBruteforcer Botnet-angreb

Med Mezo i Malware, Botnets
Oversæt til:

En fornyet bølge af GoBruteforcer-aktivitet er aktivt rettet mod databaser forbundet med kryptovaluta- og blockchain-projekter. Angriberne integrerer sårbare servere i et distribueret botnet, der er i stand til at udføre storstilede brute-force-angreb mod almindelige tjenester, herunder FTP, MySQL, PostgreSQL og phpMyAdmin på Linux-systemer.

Denne kampagne er ikke vilkårlig. Beviser viser et klart fokus på infrastruktur knyttet til blockchain-økosystemer, hvilket afspejler både økonomisk motivation og overfloden af dårligt sikrede udviklingsmiljøer i denne sektor.

Hvorfor denne kampagne vinder momentum

To konvergerende tendenser giver næring til den nuværende stigning. For det første genbruger administratorer i stigende grad AI-genererede implementeringsvejledninger og servereksempler, hvoraf mange replikerer de samme svage standardbrugernavne og legitimationsoplysninger, der findes i online tutorials og dokumentation. For det andet bliver ældre webstacks, især XAMPP-installationer, fortsat implementeret med eksponerede FTP-tjenester og administrative grænseflader, der mangler tilstrækkelig hærdning.

Sammen giver disse forhold angribere en forudsigelig og frugtbar angrebsflade.

Fra 2023 Origins til en mere farlig 2025-variant

GoBruteforcer, også kendt som GoBrut, blev oprindeligt dokumenteret i marts 2023. Tidlig forskning beskrev en Golang-baseret malwarefamilie designet til Unix-lignende systemer på tværs af x86-, x64- og ARM-arkitekturer. Den implementerede en IRC-bot til kommando og kontrol, installerede en webshell til vedvarende fjernadgang og hentede et brute-force-modul til at scanne efter yderligere sårbare værter.

I september 2025 afslørede forskere, at dele af botnettet opererede sammen med en anden malware-stamme, SystemBC, hvilket indikerer delt infrastruktur eller koordineret kontrol.

Midt i 2025 tog det store tekniske spring. Analytikere identificerede en mere avanceret variant med en stærkt obfuskeret IRC-bot omskrevet i Golang, forbedrede persistensmekanismer, procesmaskeringsfunktioner og dynamisk administrerede legitimationslister, der kunne opdateres efter behov.

Legitimationsstrategi formet af AI og udviklervaner

Malwarens brute-force-komponent er afhængig af kuraterede kombinationer af almindelige brugernavne og adgangskoder såsom 'myuser:Abcd@123' eller 'appeaser:admin123456'. Disse er ikke tilfældige valg. Mange stammer fra databasevejledninger, hostingdokumentation og leverandøreksempler – materialer, der er blevet bredt indarbejdet i store sprogmodeltræningskorpora. Som et resultat reproducerer AI-værktøjer ofte de samme standardindstillinger i genererede konfigurationskodestykker, hvilket utilsigtet standardiserer svage legitimationsoplysninger på tværs af implementeringer.

Yderligere brugernavne i rotationen refererer til kryptovaluta-arbejdsgange (såsom 'cryptouser', 'appcrypto', 'crypto_app' og 'crypto') eller er specifikt rettet mod phpMyAdmin-miljøer, herunder 'root', 'wordpress' og 'wpuser'.

Angribere vedligeholder en relativt lille, stabil adgangskodepulje for hver kampagne og opdaterer lister pr. opgave fra denne base, mens de roterer brugernavne og niche-tilføjelser flere gange om ugen. FTP-angreb behandles forskelligt: bruteforcer-binærfilen indeholder et hardcodet legitimationssæt, der er tæt knyttet til standard webhosting-stakke og servicekonti.

Infektionskæden og botnet-funktioner

Observerede indtrængen starter oftest med en internet-eksponeret FTP-tjeneste på en XAMPP-server. Når adgang er opnået, uploader angriberne en PHP-webshell. Denne shell bruges derefter til at hente og udføre en opdateret IRC-bot via et shell-script, der er skræddersyet til værtens arkitektur.

Efter kompromittering kan et inficeret system genbruges på flere måder:

  • Den kører brute-force-moduler for at forsøge logins mod FTP-, MySQL-, PostgreSQL- og phpMyAdmin-tjenester på tværs af internettet.
  • Den hoster og distribuerer ondsindede nyttelast til nyligt kompromitterede maskiner.
  • Den leverer kommando- og kontrol-slutpunkter i IRC-stil eller fungerer som en fallback C2-server for at forbedre botnettets modstandsdygtighed.

Direkte beviser på blockchain-fokuserede operationer

Yderligere undersøgelser afslørede, at mindst én kompromitteret server anvendte et specialiseret modul, der var designet til at iterere gennem en liste over TRON blockchain-adresser. Ved hjælp af den offentlige tronscanapi.com-tjeneste forespurgte malwaren kontosaldi for at identificere tegnebøger, der indeholdt midler, der ikke var nul. Denne funktion tyder stærkt på bevidst rekognoscering rettet mod blockchain-projekter og kryptorelateret infrastruktur snarere end opportunistisk scanning alene.

En vedvarende lektie for forsvarere

GoBruteforcer illustrerer en bredere, vedvarende sikkerhedsfejl: det farlige krydsfelt mellem eksponerede tjenester, svage eller genbrugte legitimationsoplysninger og stadig mere automatiserede angrebsværktøjer. Selvom botnettet i sig selv ikke er teknisk banebrydende, drager dets operatører enorm fordel af det store antal fejlkonfigurerede servere, der stadig er tilgængelige på det offentlige internet.

For forsvarere forstærker denne kampagne et velkendt, men vigtigt budskab: fjern standardlegitimationsoplysninger, begræns administrative grænseflader, udfas ældre stakke, og behandl AI-genererede implementeringseksempler som upålidelige udgangspunkter i stedet for produktionsklare konfigurationer.

Trending

Mest sete

Indlæser...