הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית התקפות בוטנט של GoBruteforcer

התקפות בוטנט של GoBruteforcer

עד Mezo ב-תוכנה זדונית, Botnets
לתרגם ל:

גל מחודש של פעילות ב-GoBruteforcer מכוון באופן פעיל לבסיסי נתונים הקשורים לפרויקטים של מטבעות קריפטוגרפיים ובלוקצ'יין. התוקפים משלבים שרתים פגיעים לרשת בוטים מבוזרת המסוגלת לבצע מתקפות Brute-Force בקנה מידה גדול נגד שירותים נפוצים, כולל FTP, MySQL, PostgreSQL ו-phpMyAdmin במערכות לינוקס.

קמפיין זה אינו חסר הבחנה. ראיות מראות התמקדות ברורה בתשתיות הקשורות למערכות אקולוגיות של בלוקצ'יין, דבר המשקף הן מוטיבציה פיננסית והן שפע של סביבות פיתוח בעלות אבטחה גרועה במגזר זה.

מדוע קמפיין זה צובר תאוצה

שתי מגמות מתכנסות מזינות את העלייה הנוכחית. ראשית, מנהלי מערכת משתמשים שוב ושוב במדריכי פריסה ודוגמאות שרת שנוצרו על ידי בינה מלאכותית, שרבים מהם משכפלים את אותם שמות משתמש ופרטי גישה חלשים המצויים כברירת מחדל במדריכים ובתיעוד מקוון. שנית, ערימות אינטרנט מדור קודם, ובמיוחד התקנות XAMPP, ממשיכות להיפרס עם שירותי FTP חשופים וממשקי ניהול חסרי הקשחה מספקת.

יחד, תנאים אלה מספקים לתוקפים משטח התקפה צפוי ופורה.

ממקורות 2023 לגרסה מסוכנת יותר של 2025

GoBruteforcer, הידוע גם בשם GoBrut, תועד לראשונה במרץ 2023. מחקר מוקדם תיאר משפחת תוכנות זדוניות מבוססות Golang שתוכננה עבור מערכות דמויות יוניקס בארכיטקטורות x86, x64 ו-ARM. היא פרסה בוט IRC לפיקוד ובקרה, התקינה מעטפת אינטרנט לגישה מרחוק מתמשכת, ואחזרה מודול Brute-Force כדי לסרוק מארחים פגיעים נוספים.

עד ספטמבר 2025, חוקרים גילו שחלקים מהבוטנט פעלו במקביל לזן תוכנות זדוניות אחר, SystemBC, דבר המצביע על תשתית משותפת או שליטה מתואמת.

אמצע 2025 סימן קפיצה טכנית משמעותית. אנליסטים זיהו גרסה מתקדמת יותר הכוללת בוט IRC מעורפל מאוד שנכתב מחדש ב-Golang, מנגנוני שמירה משופרים, יכולות מיסוך תהליכים ורשימות אישורים המנוהלות באופן דינמי שניתן לעדכן לפי דרישה.

אסטרטגיית אישורים מעוצבת על ידי בינה מלאכותית והרגלי מפתחים

רכיב הכוח האכזרי של הנוזקה מסתמך על שילובים מאוגדים של שמות משתמש וסיסמאות נפוצים כגון 'myuser:Abcd@123' או 'appeaser:admin123456'. אלה אינן בחירות אקראיות. רבות מהן מקורן במדריכי מסדי נתונים, תיעוד אירוח ודוגמאות של ספקים - חומרים שנבלעו באופן נרחב בקורפוסים גדולים של הדרכת מודלי שפה. כתוצאה מכך, כלי בינה מלאכותית משחזרים לעתים קרובות את אותן ברירות מחדל בקטעי תצורה שנוצרו, ובכך סטנדרטיזציה, שלא במתכוון, של אישורים חלשים בפריסות שונות.

שמות משתמש נוספים ברוטציה מתייחסים לזרימות עבודה של מטבעות קריפטוגרפיים (כגון 'cryptouser', 'appcrypto', 'crypto_app' ו-'crypto') או מכוונים ספציפית לסביבות phpMyAdmin, כולל 'root', 'wordpress' ו-'wpuser'.

תוקפים מתחזקים מאגר סיסמאות קטן ויציב יחסית עבור כל קמפיין, מרעננים רשימות לפי משימה מבסיס זה תוך כדי החלפת שמות משתמש ותוספות נישה מספר פעמים בשבוע. התקפות FTP מטופלות בצורה שונה: הקובץ הבינארי של bruteforcer מכיל מערך אישורים קשיח הממופה מקרוב לערימות ברירת מחדל של אירוח אתרים וחשבונות שירות.

שרשרת ההדבקה ויכולות הבוטנט

חדירות שנצפו מתחילות לרוב עם שירות FTP חשוף לאינטרנט בשרת XAMPP. לאחר קבלת גישה, התוקפים מעלים מעטפת אינטרנט של PHP. מעטפת זו משמשת לאחר מכן לאחזור וביצוע של בוט IRC מעודכן באמצעות סקריפט מעטפת המותאם לארכיטקטורה של המארח.

לאחר פגיעה, ניתן להשתמש מחדש במערכת נגועה בכמה דרכים:

  • הוא מפעיל מודולים של brute-force כדי לנסות כניסה לשירותי FTP, MySQL, PostgreSQL ו-phpMyAdmin ברחבי האינטרנט.
  • הוא מארח ומפיץ מטענים זדוניים למכונות שנפרצו לאחרונה.
  • הוא מספק נקודות קצה של פקודה ובקרה בסגנון IRC או מתפקד כשרת C2 גיבוי לשיפור עמידות הבוטנט.

ראיות ישירות לפעולות המתמקדות בבלוקצ'יין

חקירה נוספת גילתה כי לפחות שרת אחד שנפרץ הפעיל מודול ייעודי שנועד לעבור על רשימה של כתובות בלוקצ'יין של TRON. באמצעות שירות tronscanapi.com הציבורי, התוכנה הזדונית ביצעה שאילתות על יתרות חשבונות כדי לזהות ארנקים המכילים כספים שאינם אפס. יכולת זו מרמזת מאוד על סיור מכוון שמטרתו פרויקטים של בלוקצ'יין ותשתיות הקשורות לקריפטו ולא סריקה אופורטוניסטית בלבד.

שיעור מתמשך למגינים

GoBruteforcer ממחיש כשל אבטחה רחב ומתמשך: הצומת המסוכן של שירותים חשופים, אישורים חלשים או ממוחזרים, וכלי תקיפה אוטומטיים יותר ויותר. בעוד שהבוטנט עצמו אינו פורץ דרך מבחינה טכנית, מפעיליו מרוויחים רבות מכמות השרתים העצומה שתצורתם שגוי עדיין נגישים באינטרנט הציבורי.

עבור מגיני מערכות, קמפיין זה מחזק מסר מוכר אך קריטי: לבטל את פרטי הגישה המוגדרים כברירת מחדל, להגביל ממשקי ניהול, להוציא משימוש ערימות מדור קודם ולהתייחס לדוגמאות פריסה שנוצרו על ידי בינה מלאכותית כנקודות התחלה לא מהימנות ולא כאל תצורות מוכנות לייצור.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
29,007
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...