„GoBruteforcer“ botneto atakos
Atnaujinta „GoBruteforcer“ veiklos banga aktyviai taikosi į duomenų bazes, susijusias su kriptovaliutų ir blokų grandinės projektais. Užpuolikai įjungia pažeidžiamus serverius į paskirstytą botnetą, galintį vykdyti didelio masto „brute-force“ atakas prieš įprastas paslaugas, įskaitant FTP, MySQL, PostgreSQL ir phpMyAdmin Linux sistemose.
Ši kampanija nėra beatodairiška. Įrodymai rodo aiškų dėmesį infrastruktūros, susijusios su blokų grandinės ekosistemomis, slypintį tiek finansinėje motyvacijoje, tiek gausybėje prastai apsaugotų kūrimo aplinkų šiame sektoriuje.
Turinys
Kodėl ši kampanija įgauna pagreitį
Dabartinį šuolį skatina dvi sutampančios tendencijos. Pirma, administratoriai vis dažniau naudoja dirbtinio intelekto sugeneruotus diegimo vadovus ir serverių pavyzdžius, iš kurių daugelis atkartoja tuos pačius silpnus numatytuosius vartotojo vardus ir kredencialus, randamus internetiniuose vadovėliuose ir dokumentuose. Antra, seni žiniatinklio paketai, ypač XAMPP diegimai, ir toliau diegiami su pažeidžiamomis FTP paslaugomis ir administravimo sąsajomis, kurioms trūksta tinkamos apsaugos.
Kartu šios sąlygos suteikia užpuolikams nuspėjamą ir derlingą atakos paviršių.
Nuo 2023 m. ištakų iki pavojingesnio 2025 m. varianto
„GoBruteforcer“, dar žinomas kaip „GoBrut“, pirmą kartą buvo dokumentuotas 2023 m. kovo mėn. Ankstyvieji tyrimai aprašė „Golang“ pagrindu sukurtą kenkėjiškų programų šeimą, skirtą „Unix“ tipo sistemoms x86, x64 ir ARM architektūrose. Ji įdiegė IRC botą komandoms ir valdymui, įdiegė žiniatinklio apvalkalą nuolatinei nuotolinei prieigai ir gavo „brute-force“ modulį, skirtą nuskaityti papildomus pažeidžiamus pagrindinius kompiuterius.
Iki 2025 m. rugsėjo mėn. tyrėjai atskleidė, kad kai kurios botneto dalys veikė kartu su kita kenkėjiškų programų atmaina – „SystemBC“, o tai rodo bendrą infrastruktūrą arba koordinuotą kontrolę.
2025 m. vidurys žymėjo reikšmingą techninį šuolį. Analitikai nustatė pažangesnį variantą, kuriame yra labai užmaskuotas IRC botas, perrašytas Golang kalba, patobulinti duomenų saugojimo mechanizmai, procesų maskavimo galimybės ir dinamiškai valdomi kredencialų sąrašai, kuriuos galima atnaujinti pagal poreikį.
Dirbtinio intelekto ir kūrėjų įpročių formuojama įgaliojimų strategija
Kenkėjiškos programos „brute-force“ komponentas remiasi kruopščiai parinktais įprastų vartotojo vardų ir slaptažodžių deriniais, tokiais kaip „myuser:Abcd@123“ arba „appeaser:admin123456“. Tai nėra atsitiktiniai pasirinkimai. Daugelis jų yra kilę iš duomenų bazių vadovėlių, prieglobos dokumentacijos ir tiekėjų pavyzdžių – medžiagos, kuri buvo plačiai integruota į didelius kalbos modelių mokymo korpusus. Dėl to dirbtinio intelekto įrankiai dažnai atkuria tas pačias numatytąsias vertes sugeneruotuose konfigūracijos fragmentuose, netyčia standartizuodami silpnus prisijungimo duomenis skirtinguose diegimuose.
Papildomi vartotojo vardai rotacijoje nurodo kriptovaliutų darbo eigas (pvz., „cryptouser“, „appcrypto“, „crypto_app“ ir „crypto“) arba yra specialiai skirti phpMyAdmin aplinkoms, įskaitant „root“, „wordpress“ ir „wpuser“.
Užpuolikai kiekvienai kampanijai palaiko santykinai nedidelį, stabilų slaptažodžių telkinį, atnaujindami užduočių sąrašus iš tos bazės, o vartotojo vardus ir nišinius papildymus keisdami kelis kartus per savaitę. Su FTP atakomis elgiamasi kitaip: „bruteforcer“ dvejetainiame faile yra užkoduotas kredencialų rinkinys, kuris yra glaudžiai susijęs su numatytaisiais žiniatinklio prieglobos paketais ir paslaugų paskyromis.
Užkrėtimo grandinė ir botnetų galimybės
Stebimi įsilaužimai dažniausiai prasideda nuo internete veikiančios FTP paslaugos XAMPP serveryje. Gavę prieigą, užpuolikai įkelia PHP žiniatinklio apvalkalą. Tada šis apvalkalas naudojamas atnaujintam IRC robotui gauti ir vykdyti naudojant pagrindinio kompiuterio architektūrai pritaikytą apvalkalo scenarijų.
Po užkrėtimo užkrėstą sistemą galima panaudoti keliais būdais:
- Jis vykdo „brute-force“ modulius, bandydamas prisijungti prie FTP, MySQL, PostgreSQL ir phpMyAdmin paslaugų visame internete.
- Jis talpina ir platina kenkėjiškas apkrovas naujai pažeistoms mašinoms.
- Jis teikia IRC stiliaus komandų ir valdymo galinius taškus arba veikia kaip atsarginis C2 serveris, siekiant pagerinti botnetų atsparumą.
Tiesioginiai blokų grandinės operacijų įrodymai
Tolesnis tyrimas atskleidė, kad bent vienas pažeistas serveris veikė specializuotu moduliu, skirtu peržiūrėti TRON blokų grandinės adresų sąrašą. Naudodama viešąją tronscanapi.com paslaugą, kenkėjiška programa užklausė sąskaitų likučius, kad nustatytų pinigines, kuriose yra ne nulinės lėšos. Ši funkcija rodo sąmoningą žvalgybą, nukreiptą į blokų grandinės projektus ir su kriptovaliutomis susijusią infrastruktūrą, o ne vien tik oportunistinį skenavimą.
Nuolatinė pamoka gynėjams
„GoBruteforcer“ iliustruoja platesnę, nuolatinę saugumo problemą: pavojingą pažeidžiamų paslaugų, silpnų ar perdirbtų prisijungimo duomenų ir vis labiau automatizuotų atakų įrankių sankirtą. Nors pats botnetas nėra techniškai novatoriškas, jo operatoriai gauna didžiulę naudą iš didžiulio kiekio netinkamai sukonfigūruotų serverių, kurie vis dar pasiekiami viešajame internete.
Gynėjams ši kampanija sustiprina gerai žinomą, bet svarbią žinią: panaikinti numatytuosius prisijungimo duomenis, apriboti administravimo sąsajas, atsisakyti senųjų paketų ir dirbtinio intelekto sugeneruotus diegimo pavyzdžius laikyti nepatikimais atspirties taškais, o ne gamybai paruoštomis konfigūracijomis.
