GoBruteforcer बॉटनेट हमले

GoBruteforcer की गतिविधियों में एक बार फिर तेज़ी आई है और हमलावर क्रिप्टोकरेंसी और ब्लॉकचेन परियोजनाओं से जुड़े डेटाबेस को निशाना बना रहे हैं। ये हमलावर कमज़ोर सर्वरों का इस्तेमाल करके एक ऐसा बॉटनेट बना रहे हैं जो Linux सिस्टम पर FTP, MySQL, PostgreSQL और phpMyAdmin जैसी आम सेवाओं पर बड़े पैमाने पर ब्रूट-फोर्स हमले करने में सक्षम है।

यह अभियान अंधाधुंध नहीं है। साक्ष्य स्पष्ट रूप से ब्लॉकचेन पारिस्थितिकी तंत्र से जुड़े बुनियादी ढांचे पर केंद्रित हैं, जो वित्तीय प्रेरणा और इस क्षेत्र में असुरक्षित विकास परिवेशों की बहुतायत दोनों को दर्शाते हैं।

यह अभियान इतनी तेज़ी से गति क्यों पकड़ रहा है?

दो परस्पर जुड़ी प्रवृत्तियाँ वर्तमान उछाल को बढ़ावा दे रही हैं। पहला, प्रशासक एआई द्वारा तैयार किए गए परिनियोजन गाइड और सर्वर उदाहरणों का बार-बार उपयोग कर रहे हैं, जिनमें से कई ऑनलाइन ट्यूटोरियल और दस्तावेज़ों में पाए जाने वाले कमजोर डिफ़ॉल्ट उपयोगकर्ता नाम और क्रेडेंशियल को दोहराते हैं। दूसरा, पुराने वेब स्टैक, विशेष रूप से XAMPP इंस्टॉलेशन, अपर्याप्त सुरक्षा उपायों के साथ असुरक्षित FTP सेवाओं और प्रशासनिक इंटरफेस के साथ तैनात किए जा रहे हैं।

ये सभी स्थितियाँ मिलकर हमलावरों को एक पूर्वानुमानित और अनुकूल आक्रमण सतह प्रदान करती हैं।

2023 की उत्पत्ति से लेकर 2025 के अधिक खतरनाक संस्करण तक

GoBruteforcer, जिसे GoBrut के नाम से भी जाना जाता है, को पहली बार मार्च 2023 में प्रलेखित किया गया था। प्रारंभिक शोध में Golang पर आधारित एक मैलवेयर परिवार का वर्णन किया गया था जिसे x86, x64 और ARM आर्किटेक्चर पर Unix-जैसे सिस्टम के लिए डिज़ाइन किया गया था। इसने कमांड-एंड-कंट्रोल के लिए एक IRC बॉट तैनात किया, लगातार रिमोट एक्सेस के लिए एक वेब शेल स्थापित किया और अतिरिक्त कमजोर होस्ट की स्कैनिंग के लिए एक ब्रूट-फोर्स मॉड्यूल प्राप्त किया।

सितंबर 2025 तक, शोधकर्ताओं ने पता लगाया कि बॉटनेट के कुछ हिस्से एक अन्य मैलवेयर स्ट्रेन, सिस्टमबीसी के साथ मिलकर काम कर रहे थे, जो साझा बुनियादी ढांचे या समन्वित नियंत्रण का संकेत देता है।

2025 के मध्य में एक महत्वपूर्ण तकनीकी छलांग लगाई गई। विश्लेषकों ने एक अधिक उन्नत संस्करण की पहचान की जिसमें गोलंग में पुनर्लिखित एक अत्यधिक अस्पष्टीकृत आईआरसी बॉट, उन्नत निरंतरता तंत्र, प्रक्रिया-मास्किंग क्षमताएं और गतिशील रूप से प्रबंधित क्रेडेंशियल सूचियां शामिल थीं जिन्हें मांग पर अपडेट किया जा सकता था।

कृत्रिम बुद्धिमत्ता और डेवलपर की आदतों से प्रभावित प्रमाणन रणनीति

इस मैलवेयर का ब्रूट-फोर्स कंपोनेंट आम यूजरनेम और पासवर्ड के चुनिंदा कॉम्बिनेशन पर निर्भर करता है, जैसे 'myuser:Abcd@123' या 'appeaser:admin123456'। ये रैंडम सिलेक्शन नहीं हैं। इनमें से कई डेटाबेस ट्यूटोरियल, होस्टिंग डॉक्यूमेंटेशन और वेंडर के उदाहरणों से लिए गए हैं—ये ऐसी सामग्री हैं जिन्हें बड़े पैमाने पर लैंग्वेज मॉडल ट्रेनिंग कॉर्पोरा में शामिल किया गया है। नतीजतन, AI टूल्स अक्सर जेनरेट किए गए कॉन्फ़िगरेशन स्निपेट्स में उन्हीं डिफ़ॉल्ट सेटिंग्स को दोहराते हैं, जिससे अनजाने में ही कमजोर क्रेडेंशियल्स अलग-अलग डिप्लॉयमेंट्स में मानकीकृत हो जाते हैं।

रोटेशन में शामिल अतिरिक्त उपयोगकर्ता नाम क्रिप्टोकरेंसी वर्कफ़्लो (जैसे 'cryptouser,' 'appcrypto,' 'crypto_app,' और 'crypto') को संदर्भित करते हैं या विशेष रूप से phpMyAdmin वातावरण को लक्षित करते हैं, जिनमें 'root,' 'wordpress,' और 'wpuser' शामिल हैं।

हमलावर प्रत्येक अभियान के लिए अपेक्षाकृत छोटा, स्थिर पासवर्ड पूल बनाए रखते हैं, और उस आधार से प्रति-कार्य सूचियों को रीफ़्रेश करते हैं, साथ ही सप्ताह में कई बार उपयोगकर्ता नाम और विशिष्ट जानकारी जोड़ते रहते हैं। FTP हमलों को अलग तरीके से निपटाया जाता है: ब्रूटफ़ोर्सर बाइनरी में एक हार्डकोडेड क्रेडेंशियल सेट होता है जो डिफ़ॉल्ट वेब-होस्टिंग स्टैक और सेवा खातों से निकटता से मेल खाता है।

संक्रमण श्रृंखला और बॉटनेट क्षमताएं

देखे गए घुसपैठ के मामलों में अक्सर XAMPP सर्वर पर इंटरनेट से जुड़े FTP सेवा से शुरुआत होती है। एक्सेस मिलने के बाद, हमलावर एक PHP वेब शेल अपलोड करते हैं। फिर उस शेल का उपयोग होस्ट के आर्किटेक्चर के अनुसार तैयार किए गए शेल स्क्रिप्ट के माध्यम से अपडेटेड IRC बॉट को फ़ेच और एक्ज़ीक्यूट करने के लिए किया जाता है।

एक बार सिस्टम के प्रभावित हो जाने के बाद, संक्रमित सिस्टम को कई तरीकों से पुन: उपयोग में लाया जा सकता है:

• यह इंटरनेट पर मौजूद FTP, MySQL, PostgreSQL और phpMyAdmin सेवाओं में लॉगिन करने का प्रयास करने के लिए ब्रूट-फोर्स मॉड्यूल चलाता है।
• यह नए प्रभावित मशीनों में दुर्भावनापूर्ण पेलोड को होस्ट और वितरित करता है।
• यह आईआरसी-शैली के कमांड-एंड-कंट्रोल एंडपॉइंट प्रदान करता है या बॉटनेट की मजबूती को बेहतर बनाने के लिए फॉलबैक सी2 सर्वर के रूप में कार्य करता है।

ब्लॉकचेन-केंद्रित संचालन के प्रत्यक्ष प्रमाण

आगे की जांच से पता चला कि कम से कम एक प्रभावित सर्वर पर एक विशेष मॉड्यूल चल रहा था जिसे TRON ब्लॉकचेन पतों की सूची को खंगालने के लिए डिज़ाइन किया गया था। सार्वजनिक tronscanapi.com सेवा का उपयोग करके, मैलवेयर ने खाता शेष की जांच करके उन वॉलेट की पहचान की जिनमें शून्य से अधिक धनराशि थी। यह क्षमता स्पष्ट रूप से संकेत देती है कि यह ब्लॉकचेन परियोजनाओं और क्रिप्टो-संबंधित बुनियादी ढांचे को लक्षित करके की गई सुनियोजित जासूसी थी, न कि केवल आकस्मिक स्कैनिंग।

रक्षकों के लिए एक स्थायी सबक

GoBruteforcer एक व्यापक और निरंतर सुरक्षा विफलता का उदाहरण है: असुरक्षित सेवाओं, कमजोर या पुराने क्रेडेंशियल्स और तेजी से स्वचालित होते जा रहे हमले के उपकरणों का खतरनाक अंतर्संबंध। हालांकि यह बॉटनेट तकनीकी रूप से कोई क्रांतिकारी आविष्कार नहीं है, लेकिन इसके संचालक सार्वजनिक इंटरनेट पर अभी भी उपलब्ध बड़ी संख्या में गलत तरीके से कॉन्फ़िगर किए गए सर्वरों से अत्यधिक लाभ उठाते हैं।

बचावकर्ताओं के लिए, यह अभियान एक परिचित लेकिन महत्वपूर्ण संदेश को पुष्ट करता है: डिफ़ॉल्ट क्रेडेंशियल्स को समाप्त करें, प्रशासनिक इंटरफेस को प्रतिबंधित करें, पुरानी प्रणालियों को बंद करें, और एआई-जनित परिनियोजन उदाहरणों को उत्पादन-तैयार कॉन्फ़िगरेशन के बजाय अविश्वसनीय प्रारंभिक बिंदुओं के रूप में मानें।