قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار حملات بات‌نت GoBruteforcer

حملات بات‌نت GoBruteforcer

تا Mezo در بدافزار, بات نت ها
ترجمه به:

موج جدیدی از فعالیت‌های GoBruteforcer به طور فعال پایگاه‌های داده مرتبط با پروژه‌های ارز دیجیتال و بلاکچین را هدف قرار می‌دهد. مهاجمان در حال ادغام سرورهای آسیب‌پذیر در یک بات‌نت توزیع‌شده هستند که قادر به انجام حملات جستجوی فراگیر در مقیاس بزرگ علیه سرویس‌های رایج، از جمله FTP، MySQL، PostgreSQL و phpMyAdmin در سیستم‌های لینوکس است.

این کمپین بی‌قید و شرط نیست. شواهد نشان می‌دهد که تمرکز آشکاری بر زیرساخت‌های مرتبط با اکوسیستم‌های بلاکچین وجود دارد که هم انگیزه مالی و هم فراوانی محیط‌های توسعه با امنیت ضعیف در این بخش را منعکس می‌کند.

چرا این کمپین در حال افزایش محبوبیت است؟

دو روند همگرا، موج فعلی را تقویت می‌کنند. اول، مدیران به طور فزاینده‌ای از راهنماهای استقرار و نمونه‌های سرور تولید شده توسط هوش مصنوعی استفاده مجدد می‌کنند که بسیاری از آنها همان نام‌های کاربری و اعتبارنامه‌های پیش‌فرض ضعیف موجود در آموزش‌ها و مستندات آنلاین را تکرار می‌کنند. دوم، پشته‌های وب قدیمی، به ویژه نصب‌های XAMPP، همچنان با سرویس‌های FTP و رابط‌های مدیریتی در معرض خطر که فاقد استحکام کافی هستند، مستقر می‌شوند.

این شرایط در کنار هم، زمینه حمله‌ای قابل پیش‌بینی و مساعد را برای مهاجمان فراهم می‌کنند.

از نسخه ۲۰۲۳ Origins تا نسخه خطرناک‌تر ۲۰۲۵

GoBruteforcer که با نام GoBrut نیز شناخته می‌شود، در ابتدا در مارس ۲۰۲۳ مستندسازی شد. تحقیقات اولیه، یک خانواده بدافزار مبتنی بر Golang را توصیف کردند که برای سیستم‌های شبه یونیکس در معماری‌های x86، x64 و ARM طراحی شده بود. این بدافزار یک ربات IRC را برای فرمان و کنترل مستقر می‌کرد، یک پوسته وب را برای دسترسی از راه دور مداوم نصب می‌کرد و یک ماژول brute-force را برای اسکن میزبان‌های آسیب‌پذیر اضافی بازیابی می‌کرد.

تا سپتامبر ۲۰۲۵، محققان کشف کردند که بخش‌هایی از این بات‌نت همزمان با یک گونه بدافزار دیگر به نام SystemBC فعالیت می‌کردند که نشان‌دهنده زیرساخت مشترک یا کنترل هماهنگ است.

اواسط سال ۲۰۲۵ جهش فنی قابل توجهی را رقم زد. تحلیلگران نوع پیشرفته‌تری از آن را شناسایی کردند که شامل یک بات IRC به شدت مبهم‌سازی شده بود که در Golang بازنویسی شده بود، مکانیسم‌های پایداری بهبود یافته، قابلیت‌های پوشش فرآیند و فهرست‌های اعتبارنامه‌ای مدیریت‌شده پویا که می‌توانستند بنا به تقاضا به‌روزرسانی شوند.

استراتژی اعتبارسنجی که توسط هوش مصنوعی و عادات توسعه‌دهندگان شکل گرفته است

بخش حمله‌ی فراگیر این بدافزار به ترکیب‌های گزینشی از نام‌های کاربری و رمزهای عبور رایج مانند 'myuser:Abcd@123' یا 'appeaser:admin123456' متکی است. این‌ها انتخاب‌های تصادفی نیستند. بسیاری از آن‌ها از آموزش‌های پایگاه داده، اسناد میزبانی و مثال‌های فروشندگان سرچشمه می‌گیرند - مطالبی که به طور گسترده در پیکره‌های آموزشی مدل زبان بزرگ گنجانده شده‌اند. در نتیجه، ابزارهای هوش مصنوعی اغلب پیش‌فرض‌های یکسانی را در قطعه کدهای پیکربندی تولید شده بازتولید می‌کنند و ناخواسته اعتبارنامه‌های ضعیف را در سراسر پیاده‌سازی‌ها استاندارد می‌کنند.

نام‌های کاربری اضافی در چرخش، به گردش‌های کاری ارزهای دیجیتال (مانند 'cryptouser'، 'appcrypto'، 'crypto_app' و 'crypto') اشاره دارند یا به‌طور خاص محیط‌های phpMyAdmin، از جمله 'root'، 'wordpress' و 'wpuser' را هدف قرار می‌دهند.

مهاجمان برای هر کمپین، یک مجموعه رمز عبور نسبتاً کوچک و پایدار را نگهداری می‌کنند و فهرست‌های هر وظیفه را از آن پایگاه به‌روزرسانی می‌کنند، در حالی که نام‌های کاربری و موارد خاص را چندین بار در هفته تغییر می‌دهند. حملات FTP به طور متفاوتی برخورد می‌شوند: فایل باینری bruteforcer حاوی یک مجموعه اعتبارنامه کدگذاری شده است که به طور دقیق با پشته‌های پیش‌فرض میزبانی وب و حساب‌های سرویس مطابقت دارد.

زنجیره آلودگی و قابلیت‌های بات‌نت

نفوذهای مشاهده‌شده اغلب با یک سرویس FTP در معرض اینترنت روی یک سرور XAMPP آغاز می‌شوند. پس از دسترسی، مهاجمان یک پوسته وب PHP آپلود می‌کنند. سپس از آن پوسته برای دریافت و اجرای یک ربات IRC به‌روزرسانی‌شده از طریق یک اسکریپت پوسته متناسب با معماری میزبان استفاده می‌شود.

پس از نفوذ، یک سیستم آلوده می‌تواند به چندین روش تغییر کاربری دهد:

  • این بدافزار ماژول‌های جستجوی فراگیر (brute-force) را برای تلاش برای ورود به سرویس‌های FTP، MySQL، PostgreSQL و phpMyAdmin در سراسر اینترنت اجرا می‌کند.
  • این بدافزار، پیلودهای مخرب را میزبانی و در دستگاه‌های تازه آلوده شده توزیع می‌کند.
  • این ابزار، نقاط پایانی فرمان و کنترل به سبک IRC را فراهم می‌کند یا به عنوان یک سرور C2 جایگزین برای بهبود انعطاف‌پذیری بات‌نت عمل می‌کند.

شواهد مستقیم از عملیات متمرکز بر بلاکچین

تحقیقات بیشتر نشان داد که حداقل یکی از سرورهای آسیب‌دیده، ماژول تخصصی را برای تکرار فهرستی از آدرس‌های بلاکچین ترون راه‌اندازی کرده است. این بدافزار با استفاده از سرویس عمومی tronscanapi.com، موجودی حساب‌ها را برای شناسایی کیف پول‌هایی که موجودی غیر صفر دارند، بررسی می‌کرد. این قابلیت، قویاً نشان‌دهنده‌ی شناسایی عمدی با هدف پروژه‌های بلاکچین و زیرساخت‌های مرتبط با ارزهای دیجیتال است، نه صرفاً اسکن فرصت‌طلبانه.

درسی ماندگار برای مدافعان

GoBruteforcer یک نقص امنیتی گسترده‌تر و مداوم را نشان می‌دهد: تلاقی خطرناک سرویس‌های در معرض خطر، اعتبارنامه‌های ضعیف یا بازیافتی، و ابزارهای حمله خودکار که به طور فزاینده‌ای در حال افزایش هستند. در حالی که خود این بات‌نت از نظر فنی پیشگام نیست، اپراتورهای آن از حجم عظیم سرورهای پیکربندی نشده‌ای که هنوز در اینترنت عمومی قابل دسترسی هستند، سود زیادی می‌برند.

برای مدافعان، این کمپین یک پیام آشنا اما حیاتی را تقویت می‌کند: حذف اعتبارنامه‌های پیش‌فرض، محدود کردن رابط‌های مدیریتی، کنار گذاشتن پشته‌های قدیمی و برخورد با نمونه‌های استقرار تولید شده توسط هوش مصنوعی به عنوان نقاط شروع غیرقابل اعتماد به جای پیکربندی‌های آماده برای تولید.

پرطرفدار

Clearbridgeworks.co.in

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
مرور ایمن اینترنت هرگز تا این حد مهم نبوده است. مجرمان سایبری به طور مداوم روش‌های جدیدی برای فریب کاربران ایجاد می‌کنند و یک کلیک بی‌دقت می‌تواند منجر به عواقب جدی امنیتی و حریم خصوصی شود....

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
29,007
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...