Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare GoBruteforcer Botnet-angrep

GoBruteforcer Botnet-angrep

Med Mezo i Skadelig programvare, Botnett
Oversett til:

En fornyet bølge av GoBruteforcer-aktivitet retter seg aktivt mot databaser tilknyttet kryptovaluta- og blokkjedeprosjekter. Angriperne integrerer sårbare servere i et distribuert botnett som er i stand til å utføre storskala brute-force-angrep mot vanlige tjenester, inkludert FTP, MySQL, PostgreSQL og phpMyAdmin på Linux-systemer.

Denne kampanjen er ikke vilkårlig. Bevis viser et klart fokus på infrastruktur knyttet til blokkjedeøkosystemer, noe som gjenspeiler både økonomisk motivasjon og overfloden av dårlig sikrede utviklingsmiljøer i denne sektoren.

Hvorfor denne kampanjen får momentum

To konvergerende trender gir næring til den nåværende økningen. For det første gjenbruker administratorer i økende grad AI-genererte distribusjonsveiledninger og servereksempler, hvorav mange gjenskaper de samme svake standardbrukernavnene og påloggingsinformasjonen som finnes i nettbaserte veiledninger og dokumentasjon. For det andre fortsetter eldre webstabler, spesielt XAMPP-installasjoner, å bli distribuert med eksponerte FTP-tjenester og administrative grensesnitt som mangler tilstrekkelig herding.

Sammen gir disse forholdene angripere en forutsigbar og fruktbar angrepsflate.

Fra 2023-opprinnelse til en farligere 2025-variant

GoBruteforcer, også kjent som GoBrut, ble opprinnelig dokumentert i mars 2023. Tidlig forskning beskrev en Golang-basert skadevarefamilie designet for Unix-lignende systemer på tvers av x86-, x64- og ARM-arkitekturer. Den distribuerte en IRC-bot for kommando og kontroll, installerte et webskall for vedvarende ekstern tilgang og hentet en brute-force-modul for å skanne etter ytterligere sårbare verter.

I september 2025 avdekket forskere at deler av botnettet opererte sammen med en annen skadelig programvarestamme, SystemBC, noe som indikerer delt infrastruktur eller koordinert kontroll.

Midt i 2025 ble det et betydelig teknisk sprang. Analytikere identifiserte en mer avansert variant med en sterkt obfuskert IRC-bot omskrevet i Golang, forbedrede persistensmekanismer, prosessmaskeringsmuligheter og dynamisk administrerte legitimasjonslister som kunne oppdateres etter behov.

Legitimasjonsstrategi formet av AI og utviklervaner

Den skadelige programvarens brute-force-komponent er avhengig av kuraterte kombinasjoner av vanlige brukernavn og passord, som for eksempel «myuser:Abcd@123» eller «appeaser:admin123456». Dette er ikke tilfeldige valg. Mange stammer fra databaseveiledninger, hostingdokumentasjon og leverandøreksempler – materiale som har blitt mye brukt i store språkmodellopplæringskorpora. Som et resultat reproduserer AI-verktøy ofte de samme standardverdiene i genererte konfigurasjonssnutter, noe som utilsiktet standardiserer svake legitimasjonskoder på tvers av distribusjoner.

Ytterligere brukernavn i rotasjonen refererer til kryptovaluta-arbeidsflyter (som «cryptouser», «appcrypto», «crypto_app» og «crypto») eller er spesifikt rettet mot phpMyAdmin-miljøer, inkludert «root», «wordpress» og «wpuser».

Angripere opprettholder en relativt liten, stabil passordpool for hver kampanje, og oppdaterer oppgavelister fra den basen mens de roterer brukernavn og nisjetillegg flere ganger per uke. FTP-angrep behandles annerledes: bruteforcer-binærfilen inneholder et hardkodet legitimasjonssett som er tett knyttet til standard webhotellstabler og tjenestekontoer.

Infeksjonskjeden og botnettfunksjoner

Observerte inntrenginger starter oftest med en internett-eksponert FTP-tjeneste på en XAMPP-server. Når tilgang er oppnådd, laster angriperne opp et PHP-webskall. Dette skallet brukes deretter til å hente og kjøre en oppdatert IRC-bot via et skallskript skreddersydd til vertens arkitektur.

Etter kompromittering kan et infisert system gjenbrukes på flere måter:

  • Den kjører brute-force-moduler for å forsøke pålogginger mot FTP-, MySQL-, PostgreSQL- og phpMyAdmin-tjenester over hele internett.
  • Den er vert for og distribuerer ondsinnede nyttelaster til nylig kompromitterte maskiner.
  • Den tilbyr IRC-lignende kommando- og kontroll-endepunkter eller fungerer som en reserve-C2-server for å forbedre botnettets motstandskraft.

Direkte bevis på blokkjedefokusert drift

Videre undersøkelser avdekket at minst én kompromittert server brukte en spesialisert modul som var designet for å iterere gjennom en liste over TRON-blokkjedeadresser. Ved å bruke den offentlige tjenesten tronscanapi.com, undersøkte skadevaren kontosaldoene for å identifisere lommebøker som inneholdt midler som ikke var null. Denne funksjonen tyder sterkt på bevisst rekognosering rettet mot blokkjedeprosjekter og kryptorelatert infrastruktur i stedet for kun opportunistisk skanning.

En vedvarende lærdom for forsvarere

GoBruteforcer illustrerer en bredere, pågående sikkerhetssvikt: det farlige skjæringspunktet mellom eksponerte tjenester, svake eller resirkulerte legitimasjonsopplysninger og stadig mer automatiserte angrepsverktøy. Selv om botnettet i seg selv ikke er teknisk banebrytende, drar operatørene stor nytte av det store antallet feilkonfigurerte servere som fortsatt er tilgjengelige på det offentlige internett.

For forsvarere forsterker denne kampanjen et kjent, men kritisk budskap: fjern standardlegitimasjon, begrens administrative grensesnitt, pensjoner eldre stabler og behandle AI-genererte distribusjonseksempler som upålitelige utgangspunkt i stedet for produksjonsklare konfigurasjoner.

Trender

Mest sett

Laster inn...