GoBruteforcer botnetu uzbrukumi

Atjaunots GoBruteforcer aktivitāšu vilnis aktīvi uzbrūk datubāzēm, kas saistītas ar kriptovalūtu un blokķēdes projektiem. Uzbrucēji iekļauj neaizsargātus serverus izkliedētā botnetā, kas spēj veikt liela mēroga brutāla spēka uzbrukumus pret tādiem populāriem pakalpojumiem kā FTP, MySQL, PostgreSQL un phpMyAdmin Linux sistēmās.

Šī kampaņa nav bez izšķirības. Pierādījumi liecina par skaidru uzmanību infrastruktūrai, kas saistīta ar blokķēdes ekosistēmām, atspoguļojot gan finansiālu motivāciju, gan slikti aizsargātu izstrādes vides pārpilnību šajā nozarē.

Kāpēc šī kampaņa iegūst apgriezienus

Divas konverģējošas tendences veicina pašreizējo pieaugumu. Pirmkārt, administratori arvien vairāk atkārtoti izmanto mākslīgā intelekta ģenerētas izvietošanas rokasgrāmatas un serveru piemērus, no kuriem daudzi atkārto tos pašus vājos noklusējuma lietotājvārdus un akreditācijas datus, kas atrodami tiešsaistes pamācībās un dokumentācijā. Otrkārt, mantotās tīmekļa programmatūras pakotnes, īpaši XAMPP instalācijas, joprojām tiek izvietotas ar neaizsargātiem FTP pakalpojumiem un administratīvajām saskarnēm, kurām trūkst atbilstošas aizsardzības.

Kopā šie apstākļi nodrošina uzbrucējiem paredzamu un auglīgu uzbrukuma virsmu.

No 2023. gada pirmsākumiem līdz bīstamākam 2025. gada variantam

GoBruteforcer, kas pazīstams arī kā GoBrut, sākotnēji tika dokumentēts 2023. gada martā. Agrīnajos pētījumos tika aprakstīta uz Golang balstīta ļaunprogrammatūras saime, kas paredzēta Unix līdzīgām sistēmām x86, x64 un ARM arhitektūrās. Tā izvietoja IRC botu komandu un vadības nodrošināšanai, instalēja tīmekļa apvalku pastāvīgai attālinātai piekļuvei un izguva brutālas darbības moduli, lai skenētu papildu neaizsargātus resursdatorus.

Līdz 2025. gada septembrim pētnieki atklāja, ka daļa no botneta darbojās tandēmā ar citu ļaunprogrammatūras paveidu — SystemBC, kas norāda uz kopīgu infrastruktūru vai koordinētu kontroli.

2025. gada vidus iezīmēja ievērojamu tehnisku lēcienu. Analītiķi identificēja modernāku variantu, kas ietver ievērojami apmulsinātu IRC botu, kas pārrakstīts Golang valodā, uzlabotus saglabāšanas mehānismus, procesu maskēšanas iespējas un dinamiski pārvaldītus akreditācijas datu sarakstus, kurus varēja atjaunināt pēc pieprasījuma.

Akreditācijas stratēģiju veido mākslīgais intelekts un izstrādātāju paradumi

Ļaunprogrammatūras brutālā spēka komponents balstās uz rūpīgi atlasītām izplatītu lietotājvārdu un paroļu kombinācijām, piemēram, “myuser:Abcd@123” vai “appeaser:admin123456”. Šīs nav nejaušas izvēles. Daudzas no tām ir iegūtas no datubāzu pamācībām, mitināšanas dokumentācijas un pārdevēju piemēriem — materiāliem, kas ir plaši iekļauti lielos valodu modeļu apmācības korpusos. Tā rezultātā mākslīgā intelekta rīki bieži vien atveido tos pašus noklusējuma iestatījumus ģenerētajos konfigurācijas fragmentos, netīši standartizējot vājus akreditācijas datus dažādās izvietošanās reizēs.

Papildu lietotājvārdi rotācijā atsaucas uz kriptovalūtas darbplūsmām (piemēram, “cryptouser”, “appcrypto”, “crypto_app” un “crypto”) vai īpaši paredzēti phpMyAdmin vidēm, tostarp “root”, “wordpress” un “wpuser”.

Uzbrucēji katrai kampaņai uztur relatīvi nelielu, stabilu paroļu kopu, atsvaidzinot uzdevumu sarakstus no šīs bāzes, vienlaikus vairākas reizes nedēļā mainot lietotājvārdus un nišas papildinājumus. FTP uzbrukumi tiek apstrādāti atšķirīgi: bruteforcer binārajā failā ir cietkodā ierakstīts akreditācijas datu kopums, kas ir cieši saistīts ar noklusējuma tīmekļa mitināšanas komplektiem un pakalpojumu kontiem.

Infekcijas ķēde un botnetu iespējas

Novērotie ielaušanās gadījumi visbiežāk sākas ar internetā pieejamu FTP pakalpojumu XAMPP serverī. Kad piekļuve ir iegūta, uzbrucēji augšupielādē PHP tīmekļa čaulu. Šī čaula pēc tam tiek izmantota, lai ielādētu un izpildītu atjauninātu IRC robotprogrammatūru, izmantojot čaulas skriptu, kas pielāgots resursdatora arhitektūrai.

Pēc kompromitēšanas inficētu sistēmu var izmantot atkārtoti vairākos veidos:

• Tas darbina brutāla spēka moduļus, lai mēģinātu pieteikties, izmantojot FTP, MySQL, PostgreSQL un phpMyAdmin pakalpojumus visā internetā.
• Tā mitina un izplata ļaunprātīgu slodzi uz jaunizveidotām iekārtām.
• Tas nodrošina IRC stila komandu un vadības galapunktus vai darbojas kā rezerves C2 serveris, lai uzlabotu botnetu noturību.

Tieši pierādījumi par blokķēdes darbībām

Turpmākā izmeklēšana atklāja, ka vismaz viens apdraudēts serveris darbojās ar specializētu moduli, kas paredzēts TRON blokķēdes adrešu saraksta atkārtotai pārskatīšanai. Izmantojot publisko pakalpojumu tronscanapi.com, ļaunprogrammatūra vaicāja kontu atlikumus, lai identificētu makus, kuros ir līdzekļi, kas atšķiras no nulles. Šī spēja spēcīgi liecina par apzinātu izlūkošanu, kas vērsta uz blokķēdes projektiem un ar kriptovalūtu saistītu infrastruktūru, nevis tikai uz oportūnistisku skenēšanu.

Pastāvīga mācība aizstāvjiem

GoBruteforcer ilustrē plašāku, pastāvīgu drošības kļūmi: bīstamu atklātu pakalpojumu, vāju vai pārstrādātu akreditācijas datu un arvien automatizētāku uzbrukumu rīku krustpunktu. Lai gan pats botnets tehniski nav revolucionārs, tā operatori gūst milzīgu labumu no milzīgā nepareizi konfigurētu serveru skaita, kas joprojām ir pieejami publiskajā internetā.

Aizstāvjiem šī kampaņa pastiprina pazīstamu, bet svarīgu vēstījumu: likvidēt noklusējuma akreditācijas datus, ierobežot administratīvās saskarnes, izņemt no apgrieztās versijas un izturēties pret mākslīgā intelekta ģenerētiem izvietošanas piemēriem kā pret neuzticamiem sākumpunktiem, nevis ražošanai gatavām konfigurācijām.