GoBruteforcer 봇넷 공격

GoBruteforcer 공격이 다시 활발해지면서 암호화폐 및 블록체인 프로젝트 관련 데이터베이스를 집중적으로 공격하고 있습니다. 공격자들은 취약한 서버들을 이용해 분산형 봇넷을 구축하고, 이를 통해 FTP, MySQL, PostgreSQL, phpMyAdmin 등 리눅스 시스템의 일반적인 서비스에 대한 대규모 무차별 대입 공격을 감행하고 있습니다.

이 캠페인은 무차별적인 것이 아닙니다. 증거에 따르면 블록체인 생태계와 관련된 인프라에 대한 명확한 집중이 드러나고 있으며, 이는 재정적 동기와 해당 분야에 만연한 보안 취약 개발 환경을 반영합니다.

이 캠페인이 탄력을 받는 이유

두 가지 추세가 맞물려 현재의 급증세를 부추기고 있습니다. 첫째, 관리자들이 AI가 생성한 배포 가이드와 서버 예제를 재사용하는 경우가 늘고 있는데, 이러한 자료들 중 상당수는 온라인 튜토리얼과 문서에서 흔히 볼 수 있는 취약한 기본 사용자 이름과 자격 증명을 그대로 사용하고 있습니다. 둘째, 기존 웹 스택, 특히 XAMPP 설치 환경에서 FTP 서비스와 관리 인터페이스가 보안 강화 없이 노출된 채로 배포되는 경우가 여전히 많습니다.

이러한 조건들이 복합적으로 작용하여 공격자들에게 예측 가능하고 공격하기 좋은 환경을 제공합니다.

2023년 기원에서 더욱 위험한 2025년 변종까지

GoBruteforcer(GoBrut이라고도 함)는 2023년 3월에 처음으로 문서화되었습니다. 초기 연구에서는 이 악성코드가 x86, x64 및 ARM 아키텍처의 유닉스 계열 시스템을 대상으로 설계된 Golang 기반 악성코드 제품군이라고 설명했습니다. 이 악성코드는 명령 및 제어를 위해 IRC 봇을 배포하고, 지속적인 원격 접근을 위해 웹 셸을 설치하며, 추가적인 취약 호스트를 스캔하기 위한 무차별 대입 공격 모듈을 다운로드합니다.

2025년 9월까지 연구원들은 봇넷의 일부가 SystemBC라는 또 다른 악성코드 변종과 연동하여 작동하고 있음을 발견했는데, 이는 인프라를 공유하거나 조직적으로 제어하고 있음을 시사합니다.

2025년 중반은 상당한 기술적 도약의 시점이었습니다. 분석가들은 Golang으로 재작성된 고도로 난독화된 IRC 봇, 향상된 지속성 메커니즘, 프로세스 마스킹 기능, 그리고 필요에 따라 업데이트할 수 있는 동적으로 관리되는 자격 증명 목록을 특징으로 하는 더욱 발전된 변종을 발견했습니다.

AI와 개발자 습관에 맞춰 설계된 자격 증명 전략

이 악성코드의 무차별 대입 공격 구성 요소는 'myuser:Abcd@123' 또는 'appeaser:admin123456'과 같이 흔히 사용되는 사용자 이름과 암호의 조합을 활용합니다. 이러한 조합은 무작위로 선택된 것이 아닙니다. 상당수는 데이터베이스 튜토리얼, 호스팅 문서, 공급업체 예제 등 대규모 언어 모델 학습 코퍼스에 널리 사용된 자료에서 유래합니다. 결과적으로 AI 도구는 생성된 구성 스니펫에서 동일한 기본값을 자주 재현하여 의도치 않게 취약한 자격 증명을 여러 배포 환경에 표준화합니다.

순환 목록에 추가된 사용자 이름은 암호화폐 워크플로(예: 'cryptouser', 'appcrypto', 'crypto_app', 'crypto')를 참조하거나 'root', 'wordpress', 'wpuser'와 같이 phpMyAdmin 환경을 구체적으로 대상으로 합니다.

공격자들은 각 캠페인마다 비교적 작고 안정적인 암호 풀을 유지하며, 이를 기반으로 작업별 목록을 갱신하는 동시에 사용자 이름과 특수한 추가 사항을 매주 여러 번 변경합니다. FTP 공격은 다르게 처리됩니다. 무차별 대입 공격 실행 파일에는 기본 웹 호스팅 스택 및 서비스 계정과 밀접하게 일치하는 하드코딩된 자격 증명 세트가 포함되어 있습니다.

감염 사슬 및 봇넷 기능

관찰된 침입 사례는 대부분 XAMPP 서버에서 인터넷에 노출된 FTP 서비스로 시작됩니다. 접근 권한을 확보한 공격자는 PHP 웹 셸을 업로드합니다. 그런 다음 해당 셸을 사용하여 호스트 아키텍처에 맞게 제작된 셸 스크립트를 통해 업데이트된 IRC 봇을 가져와 실행합니다.

시스템이 침해당한 후에는 여러 가지 방식으로 재활용될 수 있습니다.

• 이 프로그램은 무차별 대입 공격 모듈을 실행하여 인터넷을 통해 FTP, MySQL, PostgreSQL 및 phpMyAdmin 서비스에 대한 로그인 시도를 합니다.
• 이 프로그램은 새로 감염된 시스템에 악성 페이로드를 호스팅하고 배포합니다.
• 이는 IRC 스타일의 명령 및 제어 엔드포인트를 제공하거나 봇넷 복원력을 향상시키기 위한 대체 C2 서버 역할을 합니다.

블록체인 중심 운영에 대한 직접적인 증거

추가 조사 결과, 최소한 하나의 해킹된 서버에서 TRON 블록체인 주소 목록을 순회하도록 설계된 특수 모듈이 실행되고 있는 것이 확인되었습니다. 이 악성 소프트웨어는 공개 서비스인 tronscanapi.com을 이용하여 계정 잔액을 조회하고 잔액이 0이 아닌 지갑을 식별했습니다. 이러한 기능은 단순한 기회주의적 스캔이 아니라 블록체인 프로젝트 및 암호화폐 관련 인프라를 겨냥한 의도적인 정찰 활동임을 강력하게 시사합니다.

수비수들을 위한 지속적인 교훈

GoBruteforcer는 광범위한 보안 실패 사례를 보여줍니다. 즉, 노출된 서비스, 취약하거나 재사용된 자격 증명, 그리고 점점 더 자동화되는 공격 도구가 위험하게 결합된 결과입니다. 봇넷 자체는 기술적으로 획기적인 것은 아니지만, 운영자들은 공용 인터넷에서 여전히 접근 가능한 잘못 구성된 서버가 엄청나게 많다는 점을 이용하여 막대한 이득을 얻습니다.

보안 담당자에게 있어 이 캠페인은 익숙하지만 중요한 메시지를 다시 한번 강조합니다. 기본 자격 증명을 제거하고, 관리 인터페이스를 제한하고, 기존 스택을 폐기하고, AI가 생성한 배포 예시를 실제 운영 환경에 적합한 구성이 아닌 신뢰할 수 없는 시작점으로 간주해야 한다는 것입니다.