Serangan Botnet GoBruteforcer
Gelombang baharu aktiviti GoBruteforcer sedang giat menyasarkan pangkalan data yang berkaitan dengan projek mata wang kripto dan rantaian blok. Penyerang sedang menggabungkan pelayan terdedah ke dalam botnet teragih yang mampu melakukan serangan brute-force berskala besar terhadap perkhidmatan biasa, termasuk FTP, MySQL, PostgreSQL dan phpMyAdmin pada sistem Linux.
Kempen ini tidak sembarangan. Bukti menunjukkan tumpuan yang jelas terhadap infrastruktur yang terikat dengan ekosistem rantaian blok, mencerminkan motivasi kewangan dan banyaknya persekitaran pembangunan yang kurang terjamin dalam sektor ini.
Isi kandungan
Mengapa Kempen Ini Semakin Meningkat
Dua trend yang bertemu sedang memacu lonjakan semasa. Pertama, pentadbir semakin kerap menggunakan semula panduan penggunaan dan contoh pelayan yang dijana AI, yang kebanyakannya meniru nama pengguna dan kelayakan lalai lemah yang sama yang terdapat di seluruh tutorial dan dokumentasi dalam talian. Kedua, susunan web legasi, terutamanya pemasangan XAMPP, terus digunakan dengan perkhidmatan FTP yang terdedah dan antara muka pentadbiran yang kekurangan pengerasan yang mencukupi.
Bersama-sama, keadaan ini menyediakan penyerang dengan permukaan serangan yang boleh diramal dan subur.
Dari Asal Usul 2023 kepada Varian 2025 yang Lebih Berbahaya
GoBruteforcer, juga dikenali sebagai GoBrut, pada mulanya didokumentasikan pada Mac 2023. Kajian awal menggambarkan keluarga perisian hasad berasaskan Golang yang direka untuk sistem seperti Unix merentasi seni bina x86, x64 dan ARM. Ia menggunakan bot IRC untuk arahan dan kawalan, memasang cangkerang web untuk akses jauh berterusan dan mendapatkan semula modul brute-force untuk mengimbas hos terdedah tambahan.
Menjelang September 2025, para penyelidik mendapati bahawa sebahagian daripada botnet beroperasi seiring dengan strain malware lain, SystemBC, yang menunjukkan infrastruktur kongsi atau kawalan yang diselaraskan.
Pertengahan tahun 2025 menandakan satu lonjakan teknikal yang ketara. Penganalisis mengenal pasti varian yang lebih canggih yang menampilkan bot IRC yang dikaburkan sepenuhnya yang ditulis semula dalam Golang, mekanisme ketekunan yang dipertingkatkan, keupayaan penyamaran proses dan senarai kelayakan yang diuruskan secara dinamik yang boleh dikemas kini atas permintaan.
Strategi Kelayakan Dibentuk oleh AI dan Tabiat Pembangun
Komponen brute-force perisian hasad bergantung pada kombinasi nama pengguna dan kata laluan biasa yang dipilih susun seperti 'myuser:Abcd@123' atau 'appeaser:admin123456'. Ini bukanlah pilihan rawak. Kebanyakannya berasal daripada tutorial pangkalan data, dokumentasi pengehosan dan contoh vendor—bahan yang telah diserap secara meluas ke dalam korpora latihan model bahasa yang besar. Akibatnya, alatan AI kerap menghasilkan semula lalai yang sama dalam coretan konfigurasi yang dijana, secara tidak sengaja menyeragamkan kelayakan yang lemah merentasi penggunaan.
Nama pengguna tambahan dalam aliran kerja mata wang kripto rujukan putaran (seperti 'cryptouser,' 'appcrypto,' 'crypto_app,' dan 'crypto') atau menyasarkan persekitaran phpMyAdmin secara khusus, termasuk 'root,' 'wordpress,' dan 'wpuser.'
Penyerang mengekalkan himpunan kata laluan yang agak kecil dan stabil untuk setiap kempen, menyegarkan senarai setiap tugasan daripada pangkalan tersebut sambil menggilirkan nama pengguna dan penambahan niche beberapa kali seminggu. Serangan FTP dilayan secara berbeza: binari bruteforcer mengandungi set kelayakan berkod keras yang sepadan rapat dengan susunan pengehosan web lalai dan akaun perkhidmatan.
Rantaian Jangkitan dan Keupayaan Botnet
Pencerobohan yang diperhatikan selalunya bermula dengan perkhidmatan FTP yang terdedah kepada internet pada pelayan XAMPP. Sebaik sahaja akses diperoleh, penyerang memuat naik shell web PHP. Shell tersebut kemudiannya digunakan untuk mengambil dan melaksanakan bot IRC yang dikemas kini melalui skrip shell yang disesuaikan dengan seni bina hos.
Selepas dikompromi, sistem yang dijangkiti boleh digunakan semula dalam beberapa cara:
- Ia menjalankan modul brute-force untuk cuba log masuk terhadap perkhidmatan FTP, MySQL, PostgreSQL dan phpMyAdmin di seluruh internet.
- Ia mengehos dan mengedarkan muatan berniat jahat ke mesin yang baru dikompromikan.
- Ia menyediakan titik akhir arahan dan kawalan gaya IRC atau berfungsi sebagai pelayan C2 sandaran untuk meningkatkan daya tahan botnet.
Bukti Langsung Operasi Berfokuskan Rantaian Blok
Siasatan lanjut mendedahkan bahawa sekurang-kurangnya satu pelayan yang dikompromi sedang menjalankan modul khusus yang direka untuk melakukan iterasi melalui senarai alamat rantaian blok TRON. Menggunakan perkhidmatan awam tronscanapi.com, perisian hasad tersebut telah memeriksa baki akaun untuk mengenal pasti dompet yang menyimpan dana bukan sifar. Keupayaan ini sangat mencadangkan peninjauan yang disengajakan yang ditujukan kepada projek rantaian blok dan infrastruktur berkaitan kripto dan bukannya pengimbasan oportunistik sahaja.
Pengajaran Berterusan untuk Pembela
GoBruteforcer menggambarkan kegagalan keselamatan yang lebih luas dan berterusan: persimpangan berbahaya antara perkhidmatan yang terdedah, kelayakan yang lemah atau dikitar semula, dan perkakasan serangan yang semakin automatik. Walaupun botnet itu sendiri tidak inovatif dari segi teknikal, pengendalinya mendapat manfaat yang besar daripada jumlah pelayan yang salah konfigurasi yang masih boleh diakses di internet awam.
Bagi pembela, kempen ini mengukuhkan mesej yang biasa tetapi penting: menghapuskan kelayakan lalai, menyekat antara muka pentadbiran, menghentikan susunan legasi dan menganggap contoh penggunaan yang dijana AI sebagai titik permulaan yang tidak dipercayai dan bukannya konfigurasi sedia pengeluaran.
