GoBruteforcer Botnet आक्रमणहरू

GoBruteforcer गतिविधिको नयाँ लहरले क्रिप्टोकरेन्सी र ब्लकचेन परियोजनाहरूसँग सम्बन्धित डाटाबेसहरूलाई सक्रिय रूपमा लक्षित गरिरहेको छ। आक्रमणकारीहरूले कमजोर सर्भरहरूलाई वितरित बोटनेटमा सह-अप्ट गरिरहेका छन् जुन Linux प्रणालीहरूमा FTP, MySQL, PostgreSQL, र phpMyAdmin लगायत सामान्य सेवाहरू विरुद्ध ठूलो मात्रामा क्रूर-बल आक्रमणहरू गर्न सक्षम छन्।

यो अभियान भेदभावपूर्ण छैन। प्रमाणहरूले ब्लकचेन इकोसिस्टमसँग जोडिएको पूर्वाधारमा स्पष्ट ध्यान केन्द्रित गरेको देखाउँछ, जसले यस क्षेत्रमा वित्तीय प्रेरणा र कमजोर सुरक्षित विकास वातावरणको प्रशस्तता दुवैलाई प्रतिबिम्बित गर्दछ।

यो अभियान किन गति लिइरहेको छ

दुई अभिसरण प्रवृत्तिले हालको वृद्धिलाई बढावा दिइरहेका छन्। पहिलो, प्रशासकहरूले एआई-उत्पन्न तैनाती गाइडहरू र सर्भर उदाहरणहरू बढ्दो रूपमा पुन: प्रयोग गरिरहेका छन्, जसमध्ये धेरैले अनलाइन ट्यूटोरियल र कागजातहरूमा पाइने उही कमजोर पूर्वनिर्धारित प्रयोगकर्ता नामहरू र प्रमाणहरू दोहोर्याउँछन्। दोस्रो, लिगेसी वेब स्ट्याकहरू, विशेष गरी XAMPP स्थापनाहरू, खुला FTP सेवाहरू र प्रशासनिक इन्टरफेसहरूसँग तैनाथ गर्न जारी राख्छन् जसमा पर्याप्त कडापनको अभाव छ।

यी अवस्थाहरूले आक्रमणकारीहरूलाई अनुमान गर्न सकिने र उर्वर आक्रमण सतह प्रदान गर्दछ।

२०२३ को उत्पत्तिदेखि २०२५ को अझ खतरनाक भेरियन्टसम्म

GoBruteforcer, जसलाई GoBrut पनि भनिन्छ, सुरुमा मार्च २०२३ मा दस्तावेज गरिएको थियो। प्रारम्भिक अनुसन्धानले x86, x64, र ARM आर्किटेक्चरहरूमा युनिक्स-जस्तो प्रणालीहरूको लागि डिजाइन गरिएको गोलङ-आधारित मालवेयर परिवारको वर्णन गर्‍यो। यसले कमाण्ड-एन्ड-कन्ट्रोलको लागि IRC बट तैनाथ गर्‍यो, निरन्तर रिमोट पहुँचको लागि वेब शेल स्थापना गर्‍यो, र थप कमजोर होस्टहरूको लागि स्क्यान गर्न ब्रुट-फोर्स मोड्युल पुनःप्राप्त गर्‍यो।

सेप्टेम्बर २०२५ सम्ममा, अनुसन्धानकर्ताहरूले बोटनेटका केही भागहरू अर्को मालवेयर स्ट्रेन, सिस्टमबीसीसँग मिलेर काम गरिरहेको पत्ता लगाए, जसले साझा पूर्वाधार वा समन्वित नियन्त्रणलाई संकेत गर्दछ।

२०२५ को मध्यमा एउटा महत्त्वपूर्ण प्राविधिक छलाङ देखियो। विश्लेषकहरूले गोलङमा पुन: लेखिएको अत्यधिक अस्पष्ट IRC बट, बढेको दृढता संयन्त्र, प्रक्रिया-मास्किङ क्षमताहरू, र माग अनुसार अद्यावधिक गर्न सकिने गतिशील रूपमा व्यवस्थित प्रमाण सूचीहरू सहितको थप उन्नत संस्करण पहिचान गरे।

एआई र विकासकर्ता बानीहरूद्वारा आकार दिइएको क्रेडेन्सियल रणनीति

मालवेयरको ब्रुट-फोर्स कम्पोनेन्ट 'myuser:Abcd@123' वा 'appeaser:admin123456' जस्ता सामान्य प्रयोगकर्ता नाम र पासवर्डहरूको क्युरेट गरिएको संयोजनमा निर्भर गर्दछ। यी अनियमित चयनहरू होइनन्। धेरै डाटाबेस ट्यूटोरियलहरू, होस्टिंग कागजातहरू, र विक्रेता उदाहरणहरूबाट उत्पन्न हुन्छन् - सामग्रीहरू जुन ठूलो भाषा मोडेल प्रशिक्षण कर्पोरामा व्यापक रूपमा इन्जेस्ट गरिएको छ। फलस्वरूप, एआई उपकरणहरूले प्रायः उत्पन्न कन्फिगरेसन स्निपेटहरूमा उही पूर्वनिर्धारितहरू पुन: उत्पादन गर्दछ, अनजानमा तैनातीहरूमा कमजोर प्रमाणहरूलाई मानकीकृत गर्दै।

रोटेशन सन्दर्भ क्रिप्टोकरेन्सी कार्यप्रवाहहरूमा अतिरिक्त प्रयोगकर्ता नामहरू (जस्तै 'क्रिप्टोउसर,' 'एपक्रिप्टो,' 'क्रिप्टो_एप,' र 'क्रिप्टो') वा विशेष रूपमा 'रूट,' 'वर्डप्रेस,' र 'डब्ल्यूपीयूजर' सहित phpMyAdmin वातावरणहरूलाई लक्षित गर्नुहोस्।

आक्रमणकारीहरूले प्रत्येक अभियानको लागि अपेक्षाकृत सानो, स्थिर पासवर्ड पूल कायम राख्छन्, प्रति हप्ता धेरै पटक प्रयोगकर्ता नाम र आला थपहरू घुमाउँदै त्यो आधारबाट प्रति-कार्य सूचीहरू ताजा गर्छन्। FTP आक्रमणहरूलाई फरक तरिकाले व्यवहार गरिन्छ: ब्रुटफोर्सर बाइनरीमा हार्डकोड गरिएको क्रेडेन्सियल सेट हुन्छ जुन पूर्वनिर्धारित वेब-होस्टिङ स्ट्याकहरू र सेवा खाताहरूसँग नजिकबाट नक्सा गर्दछ।

संक्रमण शृङ्खला र बोटनेट क्षमताहरू

अवलोकन गरिएका घुसपैठहरू प्रायः XAMPP सर्भरमा इन्टरनेट-एक्सपोज गरिएको FTP सेवाबाट सुरु हुन्छन्। पहुँच प्राप्त भएपछि, आक्रमणकारीहरूले PHP वेब शेल अपलोड गर्छन्। त्यसपछि त्यो शेल होस्टको वास्तुकला अनुरूप बनाइएको शेल स्क्रिप्ट मार्फत अद्यावधिक गरिएको IRC बट ल्याउन र कार्यान्वयन गर्न प्रयोग गरिन्छ।

सम्झौता पछि, संक्रमित प्रणालीलाई धेरै तरिकाले पुन: प्रयोग गर्न सकिन्छ:

• यसले इन्टरनेटभरि FTP, MySQL, PostgreSQL, र phpMyAdmin सेवाहरू विरुद्ध लगइन प्रयास गर्न ब्रूट-फोर्स मोड्युलहरू चलाउँछ।
• यसले नयाँ सम्झौता गरिएका मेसिनहरूमा मालिसियस पेलोडहरू होस्ट र वितरण गर्दछ।
• यसले बोटनेट लचिलोपन सुधार गर्न फलब्याक C2 सर्भरको रूपमा IRC-शैलीको कमाण्ड-एन्ड-कन्ट्रोल एन्डपोइन्टहरू वा कार्यहरू प्रदान गर्दछ।

ब्लकचेन-केन्द्रित सञ्चालनको प्रत्यक्ष प्रमाण

थप अनुसन्धानले पत्ता लगायो कि कम्तिमा एउटा सम्झौता गरिएको सर्भरले TRON ब्लकचेन ठेगानाहरूको सूची मार्फत पुनरावृत्ति गर्न डिजाइन गरिएको विशेष मोड्युल स्टेज गरिरहेको थियो। सार्वजनिक tronscanapi.com सेवा प्रयोग गरेर, मालवेयरले गैर-शून्य कोषहरू राख्ने वालेटहरू पहिचान गर्न खाता ब्यालेन्सहरू सोधपुछ गर्‍यो। यो क्षमताले अवसरवादी स्क्यानिङको सट्टा ब्लकचेन परियोजनाहरू र क्रिप्टो-सम्बन्धित पूर्वाधारमा लक्षित जानाजानी पुनर्जागरणलाई दृढतापूर्वक सुझाव दिन्छ।

रक्षकहरूको लागि निरन्तर पाठ

GoBruteforcer ले फराकिलो, निरन्तर सुरक्षा असफलतालाई चित्रण गर्दछ: खुला सेवाहरूको खतरनाक प्रतिच्छेदन, कमजोर वा पुन: प्रयोग गरिएको प्रमाणहरू, र बढ्दो स्वचालित आक्रमण उपकरणहरू। जबकि बोटनेट आफैं प्राविधिक रूपमा ग्राउन्डब्रेकिंग छैन, यसको अपरेटरहरूले सार्वजनिक इन्टरनेटमा अझै पनि पहुँचयोग्य गलत कन्फिगर गरिएका सर्भरहरूको सरासर मात्राबाट ठूलो लाभ उठाउँछन्।

रक्षकहरूका लागि, यो अभियानले परिचित तर महत्वपूर्ण सन्देशलाई सुदृढ पार्छ: पूर्वनिर्धारित प्रमाणहरू हटाउनुहोस्, प्रशासनिक इन्टरफेसहरू प्रतिबन्धित गर्नुहोस्, लिगेसी स्ट्याकहरू रिटायर गर्नुहोस्, र उत्पादन-तयार कन्फिगरेसनको सट्टा एआई-उत्पन्न तैनाती उदाहरणहरूलाई अविश्वसनीय सुरुवात बिन्दुको रूपमा व्यवहार गर्नुहोस्।