Ponuda s popustom na više licenci
Baza prijetnji Malware Napadi botneta GoBruteforcer

Napadi botneta GoBruteforcer

Do Mezo. Malware, Botneti. godine
Prevedi na:

Obnovljeni val aktivnosti GoBruteforcera aktivno cilja baze podataka povezane s kriptovalutama i blockchain projektima. Napadači kooptiraju ranjive poslužitelje u distribuiranu botnet mrežu sposobnu za izvođenje velikih brute-force napada na uobičajene usluge, uključujući FTP, MySQL, PostgreSQL i phpMyAdmin na Linux sustavima.

Ova kampanja nije neselektivna. Dokazi pokazuju jasan fokus na infrastrukturu povezanu s blockchain ekosustavima, što odražava i financijsku motivaciju i obilje slabo osiguranih razvojnih okruženja u ovom sektoru.

Zašto ova kampanja dobiva na zamahu

Dva konvergentna trenda potiču trenutni porast. Prvo, administratori sve više ponovno koriste vodiče za implementaciju i primjere poslužitelja generirane umjetnom inteligencijom, od kojih mnogi repliciraju ista slaba zadana korisnička imena i vjerodajnice pronađene u online vodičima i dokumentaciji. Drugo, naslijeđeni web stogovi, posebno XAMPP instalacije, i dalje se implementiraju s izloženim FTP uslugama i administratorskim sučeljima kojima nedostaje odgovarajuće osiguranje.

Zajedno, ovi uvjeti pružaju napadačima predvidljivu i plodnu površinu za napad.

Od početaka iz 2023. do opasnije varijante iz 2025.

GoBruteforcer, također poznat kao GoBrut, prvi put je dokumentiran u ožujku 2023. Rana istraživanja opisuju obitelj zlonamjernog softvera temeljenu na Golangu, dizajniranu za Unix-slične sustave na x86, x64 i ARM arhitekturama. Implementirao je IRC bot za naređivanje i kontrolu, instalirao web ljusku za trajni udaljeni pristup i dohvatio modul za brute-force skeniranje dodatnih ranjivih hostova.

Do rujna 2025. istraživači su otkrili da dijelovi botneta djeluju zajedno s drugim sojem zlonamjernog softvera, SystemBC-om, što ukazuje na zajedničku infrastrukturu ili koordiniranu kontrolu.

Sredina 2025. godine obilježila je značajan tehnički skok. Analitičari su identificirali napredniju varijantu s jako obfuskiranim IRC botom prepisanim u Golangu, poboljšanim mehanizmima perzistencije, mogućnostima maskiranja procesa i dinamički upravljanim popisima vjerodajnica koji se mogu ažurirati na zahtjev.

Strategija vjerodajnica oblikovana umjetnom inteligencijom i navikama programera

Komponenta zlonamjernog softvera za grubu silu oslanja se na odabrane kombinacije uobičajenih korisničkih imena i lozinki kao što su 'myuser:Abcd@123' ili 'appeaser:admin123456'. To nisu slučajni odabiri. Mnogi potječu iz tutorijala za baze podataka, dokumentacije za hosting i primjera dobavljača - materijala koji su široko uneseni u velike korpuse za obuku jezičnih modela. Kao rezultat toga, alati umjetne inteligencije često reproduciraju iste zadane vrijednosti u generiranim isječcima konfiguracije, nenamjerno standardizirajući slabe vjerodajnice u različitim implementacijama.

Dodatna korisnička imena u rotaciji upućuju na tijekove rada s kriptovalutama (kao što su 'cryptouser', 'appcrypto', 'crypto_app' i 'crypto') ili se posebno odnose na phpMyAdmin okruženja, uključujući 'root', 'wordpress' i 'wpuser'.

Napadači održavaju relativno mali, stabilan skup lozinki za svaku kampanju, osvježavajući popise po zadatku iz te baze dok rotiraju korisnička imena i dodatke u nišu više puta tjedno. FTP napadi se tretiraju drugačije: binarni program bruteforcera sadrži čvrsto kodirani skup vjerodajnica koji se blisko preslikava na zadane stekove web hostinga i servisne račune.

Lanac infekcije i mogućnosti botneta

Uočeni upadi najčešće započinju s FTP uslugom izloženom internetu na XAMPP poslužitelju. Nakon što se dobije pristup, napadači prenose PHP web shell. Taj se shell zatim koristi za dohvaćanje i izvršavanje ažuriranog IRC bota putem shell skripte prilagođene arhitekturi hosta.

Nakon kompromitiranja, zaraženi sustav može se prenamijeniti na nekoliko načina:

  • Pokreće module za brute-force kako bi pokušao prijaviti se na FTP, MySQL, PostgreSQL i phpMyAdmin servise diljem interneta.
  • Poslužuje i distribuira zlonamjerne podatke na novo kompromitirana računala.
  • Pruža krajnje točke za naredbe i kontrolu u IRC stilu ili funkcionira kao rezervni C2 poslužitelj za poboljšanje otpornosti botneta.

Izravni dokazi operacija usmjerenih na blockchain

Daljnja istraga otkrila je da je barem jedan kompromitirani poslužitelj instalirao specijalizirani modul dizajniran za iteraciju kroz popis TRON blockchain adresa. Koristeći javnu uslugu tronscanapi.com, zlonamjerni softver ispitivao je stanja računa kako bi identificirao novčanike koji sadrže sredstva različita od nule. Ova sposobnost snažno sugerira namjerno izviđanje usmjereno na blockchain projekte i infrastrukturu povezanu s kriptovalutama, a ne samo na oportunističko skeniranje.

Stalna lekcija za branitelje

GoBruteforcer ilustrira širi, kontinuirani sigurnosni propust: opasan presjek izloženih usluga, slabih ili recikliranih vjerodajnica i sve automatiziranijih alata za napade. Iako sam botnet tehnički nije revolucionaran, njegovi operateri imaju ogromne koristi od samog broja pogrešno konfiguriranih poslužitelja koji su još uvijek dostupni na javnom internetu.

Za branitelje, ova kampanja pojačava poznatu, ali ključnu poruku: ukinite zadane vjerodajnice, ograničite administrativna sučelja, ukinite naslijeđene pakete i tretirajte primjere implementacije generirane umjetnom inteligencijom kao nepouzdane početne točke, a ne kao konfiguracije spremne za produkciju.

U trendu

Nagledanije

Učitavam...