Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Επιθέσεις Botnet GoBruteforcer

Επιθέσεις Botnet GoBruteforcer

Μέχρι το Mezo το Κακόβουλο λογισμικό, Botnets
Μετάφραση σε:

Ένα ανανεωμένο κύμα δραστηριότητας του GoBruteforcer στοχεύει ενεργά βάσεις δεδομένων που σχετίζονται με έργα κρυπτονομισμάτων και blockchain. Οι επιτιθέμενοι ενσωματώνουν ευάλωτους διακομιστές σε ένα κατανεμημένο botnet ικανό να εκτελεί επιθέσεις μεγάλης κλίμακας brute-force εναντίον κοινών υπηρεσιών, όπως FTP, MySQL, PostgreSQL και phpMyAdmin σε συστήματα Linux.

Αυτή η εκστρατεία δεν είναι αδιάκριτη. Τα στοιχεία δείχνουν μια σαφή εστίαση στις υποδομές που συνδέονται με τα οικοσυστήματα blockchain, αντανακλώντας τόσο το οικονομικό κίνητρο όσο και την αφθονία των ανεπαρκώς ασφαλισμένων αναπτυξιακών περιβαλλόντων σε αυτόν τον τομέα.

Γιατί αυτή η καμπάνια κερδίζει δυναμική

Δύο συγκλίνουσες τάσεις τροφοδοτούν την τρέχουσα αύξηση. Πρώτον, οι διαχειριστές επαναχρησιμοποιούν ολοένα και περισσότερο οδηγούς ανάπτυξης που δημιουργούνται από την τεχνητή νοημοσύνη και παραδείγματα διακομιστών, πολλά από τα οποία αναπαράγουν τα ίδια αδύναμα προεπιλεγμένα ονόματα χρήστη και διαπιστευτήρια που βρίσκονται σε διαδικτυακά εκπαιδευτικά βίντεο και τεκμηρίωση. Δεύτερον, οι παλαιότερες στοίβες ιστού, ιδίως οι εγκαταστάσεις XAMPP, συνεχίζουν να αναπτύσσονται με εκτεθειμένες υπηρεσίες FTP και διαχειριστικές διεπαφές που δεν έχουν επαρκή ενίσχυση.

Μαζί, αυτές οι συνθήκες παρέχουν στους επιτιθέμενους μια προβλέψιμη και γόνιμη επιφάνεια επίθεσης.

Από το 2023 Origins σε μια πιο επικίνδυνη παραλλαγή του 2025

Το GoBruteforcer, επίσης γνωστό ως GoBrut, καταγράφηκε αρχικά τον Μάρτιο του 2023. Πρώιμη έρευνα περιέγραφε μια οικογένεια κακόβουλου λογισμικού που βασίζεται στο Golang, σχεδιασμένη για συστήματα τύπου Unix σε αρχιτεκτονικές x86, x64 και ARM. Ανέπτυξε ένα bot IRC για εντολές και έλεγχο, εγκατέστησε ένα κέλυφος ιστού για μόνιμη απομακρυσμένη πρόσβαση και ανέκτησε μια μονάδα brute-force για σάρωση για επιπλέον ευάλωτους κεντρικούς υπολογιστές.

Μέχρι τον Σεπτέμβριο του 2025, οι ερευνητές αποκάλυψαν ότι τμήματα του botnet λειτουργούσαν παράλληλα με ένα άλλο στέλεχος κακόβουλου λογισμικού, το SystemBC, υποδεικνύοντας κοινή υποδομή ή συντονισμένο έλεγχο.

Τα μέσα του 2025 σηματοδότησε ένα σημαντικό τεχνικό άλμα. Οι αναλυτές εντόπισαν μια πιο προηγμένη παραλλαγή που διαθέτει ένα πολύ θολό IRC bot που ξαναγράφτηκε σε Golang, βελτιωμένους μηχανισμούς διατήρησης, δυνατότητες απόκρυψης διεργασιών και δυναμικά διαχειριζόμενες λίστες διαπιστευτηρίων που θα μπορούσαν να ενημερώνονται κατόπιν αιτήματος.

Στρατηγική Πιστοποίησης που Διαμορφώνεται από την Τεχνητή Νοημοσύνη και τις Συνήθειες των Προγραμματιστών

Το στοιχείο brute-force του κακόβουλου λογισμικού βασίζεται σε επιμελημένους συνδυασμούς κοινών ονομάτων χρήστη και κωδικών πρόσβασης, όπως 'myuser:Abcd@123' ή 'appeaser:admin123456'. Αυτές δεν είναι τυχαίες επιλογές. Πολλές προέρχονται από εκπαιδευτικά σεμινάρια βάσεων δεδομένων, τεκμηρίωση φιλοξενίας και παραδείγματα προμηθευτών - υλικά που έχουν απορροφηθεί ευρέως σε μεγάλα σώματα εκπαίδευσης γλωσσικών μοντέλων. Ως αποτέλεσμα, τα εργαλεία τεχνητής νοημοσύνης αναπαράγουν συχνά τις ίδιες προεπιλογές σε δημιουργημένα τμήματα διαμόρφωσης, τυποποιώντας ακούσια τα αδύναμα διαπιστευτήρια σε όλες τις αναπτύξεις.

Πρόσθετα ονόματα χρήστη στην εναλλαγή αναφέρονται σε ροές εργασίας κρυπτονομισμάτων (όπως 'cryptouser', 'appcrypto', 'crypto_app' και 'crypto') ή στοχεύουν συγκεκριμένα σε περιβάλλοντα phpMyAdmin, συμπεριλαμβανομένων των 'root', 'wordpress' και 'wpuser'.

Οι επιτιθέμενοι διατηρούν μια σχετικά μικρή, σταθερή ομάδα κωδικών πρόσβασης για κάθε καμπάνια, ανανεώνοντας λίστες ανά εργασία από αυτήν τη βάση, ενώ εναλλάσσουν ονόματα χρήστη και προσθήκες σε εξειδικευμένες τοποθεσίες πολλές φορές την εβδομάδα. Οι επιθέσεις FTP αντιμετωπίζονται διαφορετικά: το δυαδικό αρχείο bruteforcer περιέχει ένα ενσωματωμένο σύνολο διαπιστευτηρίων που αντιστοιχεί στενά στις προεπιλεγμένες στοίβες φιλοξενίας ιστοσελίδων και τους λογαριασμούς υπηρεσιών.

Η αλυσίδα μόλυνσης και οι δυνατότητες του Botnet

Οι παρατηρούμενες εισβολές ξεκινούν συνήθως με μια υπηρεσία FTP που είναι εκτεθειμένη στο διαδίκτυο σε έναν διακομιστή XAMPP. Μόλις αποκτηθεί πρόσβαση, οι εισβολείς ανεβάζουν ένα κέλυφος ιστού PHP. Αυτό το κέλυφος χρησιμοποιείται στη συνέχεια για την ανάκτηση και την εκτέλεση ενός ενημερωμένου bot IRC μέσω ενός σεναρίου κελύφους προσαρμοσμένου στην αρχιτεκτονική του κεντρικού υπολογιστή.

Μετά την παραβίαση, ένα μολυσμένο σύστημα μπορεί να επαναχρησιμοποιηθεί με διάφορους τρόπους:

  • Εκτελεί μονάδες brute-force για να επιχειρήσει συνδέσεις σε υπηρεσίες FTP, MySQL, PostgreSQL και phpMyAdmin σε όλο το διαδίκτυο.
  • Φιλοξενεί και διανέμει κακόβουλα ωφέλιμα φορτία σε πρόσφατα παραβιασμένα μηχανήματα.
  • Παρέχει τελικά σημεία εντολών και ελέγχου τύπου IRC ή λειτουργεί ως εφεδρικός διακομιστής C2 για τη βελτίωση της ανθεκτικότητας του botnet.

Άμεσες ενδείξεις λειτουργιών που επικεντρώνονται στο Blockchain

Περαιτέρω έρευνα αποκάλυψε ότι τουλάχιστον ένας παραβιασμένος διακομιστής έστηνε μια εξειδικευμένη ενότητα σχεδιασμένη να διαχειρίζεται μια λίστα διευθύνσεων blockchain TRON. Χρησιμοποιώντας την δημόσια υπηρεσία tronscanapi.com, το κακόβουλο λογισμικό πραγματοποίησε αναζήτηση σε υπόλοιπα λογαριασμών για να εντοπίσει πορτοφόλια που διατηρούσαν μη μηδενικά κεφάλαια. Αυτή η δυνατότητα υποδηλώνει έντονα σκόπιμη αναγνώριση που στόχευε σε έργα blockchain και υποδομές που σχετίζονται με κρυπτονομίσματα και όχι μόνο σε ευκαιριακή σάρωση.

Ένα διαρκές μάθημα για τους υπερασπιστές

Το GoBruteforcer καταδεικνύει μια ευρύτερη, συνεχιζόμενη αποτυχία ασφαλείας: την επικίνδυνη διασταύρωση εκτεθειμένων υπηρεσιών, αδύναμων ή ανακυκλωμένων διαπιστευτηρίων και ολοένα και πιο αυτοματοποιημένων εργαλείων επίθεσης. Ενώ το ίδιο το botnet δεν είναι τεχνικά πρωτοποριακό, οι χειριστές του επωφελούνται σε μεγάλο βαθμό από τον τεράστιο όγκο των λανθασμένα διαμορφωμένων διακομιστών που εξακολουθούν να είναι προσβάσιμοι στο δημόσιο διαδίκτυο.

Για τους υπερασπιστές, αυτή η καμπάνια ενισχύει ένα οικείο αλλά κρίσιμο μήνυμα: εξάλειψη των προεπιλεγμένων διαπιστευτηρίων, περιορισμός των διεπαφών διαχειριστή, απόσυρση των παλαιών στοίβων και αντιμετώπιση των παραδειγμάτων ανάπτυξης που δημιουργούνται από την τεχνητή νοημοσύνη ως μη αξιόπιστα σημεία εκκίνησης αντί για διαμορφώσεις έτοιμες για παραγωγή.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
29,007
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...