GoBruteforcer Botnet ਹਮਲੇ

GoBruteforcer ਗਤੀਵਿਧੀ ਦੀ ਇੱਕ ਨਵੀਂ ਲਹਿਰ ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਅਤੇ ਬਲਾਕਚੈਨ ਪ੍ਰੋਜੈਕਟਾਂ ਨਾਲ ਜੁੜੇ ਡੇਟਾਬੇਸਾਂ ਨੂੰ ਸਰਗਰਮੀ ਨਾਲ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਹੀ ਹੈ। ਹਮਲਾਵਰ ਕਮਜ਼ੋਰ ਸਰਵਰਾਂ ਨੂੰ ਇੱਕ ਵੰਡੇ ਹੋਏ ਬੋਟਨੈੱਟ ਵਿੱਚ ਸਹਿ-ਚੁਣ ਰਹੇ ਹਨ ਜੋ Linux ਸਿਸਟਮਾਂ 'ਤੇ FTP, MySQL, PostgreSQL, ਅਤੇ phpMyAdmin ਸਮੇਤ ਆਮ ਸੇਵਾਵਾਂ ਦੇ ਵਿਰੁੱਧ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਬਰੂਟ-ਫੋਰਸ ਹਮਲੇ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹਨ।

ਇਹ ਮੁਹਿੰਮ ਬਿਨਾਂ ਕਿਸੇ ਅੰਨ੍ਹੇਵਾਹ ਨਹੀਂ ਹੈ। ਸਬੂਤ ਬਲਾਕਚੈਨ ਈਕੋਸਿਸਟਮ ਨਾਲ ਜੁੜੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ 'ਤੇ ਸਪੱਸ਼ਟ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਦੇ ਹਨ, ਜੋ ਕਿ ਇਸ ਖੇਤਰ ਵਿੱਚ ਵਿੱਤੀ ਪ੍ਰੇਰਣਾ ਅਤੇ ਮਾੜੇ ਸੁਰੱਖਿਅਤ ਵਿਕਾਸ ਵਾਤਾਵਰਣ ਦੀ ਭਰਪੂਰਤਾ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।

ਇਹ ਮੁਹਿੰਮ ਕਿਉਂ ਤੇਜ਼ੀ ਨਾਲ ਵਧ ਰਹੀ ਹੈ

ਦੋ ਇਕੱਠੇ ਹੋ ਰਹੇ ਰੁਝਾਨ ਮੌਜੂਦਾ ਵਾਧੇ ਨੂੰ ਵਧਾ ਰਹੇ ਹਨ। ਪਹਿਲਾ, ਪ੍ਰਸ਼ਾਸਕ AI-ਤਿਆਰ ਕੀਤੇ ਤੈਨਾਤੀ ਗਾਈਡਾਂ ਅਤੇ ਸਰਵਰ ਉਦਾਹਰਣਾਂ ਦੀ ਤੇਜ਼ੀ ਨਾਲ ਮੁੜ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹਨ, ਜਿਨ੍ਹਾਂ ਵਿੱਚੋਂ ਬਹੁਤ ਸਾਰੇ ਔਨਲਾਈਨ ਟਿਊਟੋਰਿਅਲ ਅਤੇ ਦਸਤਾਵੇਜ਼ਾਂ ਵਿੱਚ ਪਾਏ ਜਾਣ ਵਾਲੇ ਉਹੀ ਕਮਜ਼ੋਰ ਡਿਫਾਲਟ ਉਪਭੋਗਤਾ ਨਾਮ ਅਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ। ਦੂਜਾ, ਪੁਰਾਣੇ ਵੈੱਬ ਸਟੈਕ, ਖਾਸ ਤੌਰ 'ਤੇ XAMPP ਸਥਾਪਨਾਵਾਂ, ਐਕਸਪੋਜ਼ਡ FTP ਸੇਵਾਵਾਂ ਅਤੇ ਪ੍ਰਸ਼ਾਸਕੀ ਇੰਟਰਫੇਸਾਂ ਨਾਲ ਤੈਨਾਤ ਕੀਤੇ ਜਾਂਦੇ ਰਹਿੰਦੇ ਹਨ ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਲੋੜੀਂਦੀ ਸਖ਼ਤਾਈ ਦੀ ਘਾਟ ਹੁੰਦੀ ਹੈ।

ਇਕੱਠੇ ਮਿਲ ਕੇ, ਇਹ ਹਾਲਾਤ ਹਮਲਾਵਰਾਂ ਨੂੰ ਇੱਕ ਅਨੁਮਾਨਯੋਗ ਅਤੇ ਉਪਜਾਊ ਹਮਲੇ ਦੀ ਸਤ੍ਹਾ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ।

2023 ਦੇ ਮੂਲ ਤੋਂ ਲੈ ਕੇ 2025 ਦੇ ਇੱਕ ਹੋਰ ਖ਼ਤਰਨਾਕ ਰੂਪ ਤੱਕ

GoBruteforcer, ਜਿਸਨੂੰ GoBrut ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਨੂੰ ਸ਼ੁਰੂ ਵਿੱਚ ਮਾਰਚ 2023 ਵਿੱਚ ਦਸਤਾਵੇਜ਼ੀ ਰੂਪ ਦਿੱਤਾ ਗਿਆ ਸੀ। ਸ਼ੁਰੂਆਤੀ ਖੋਜ ਵਿੱਚ x86, x64, ਅਤੇ ARM ਆਰਕੀਟੈਕਚਰ ਵਿੱਚ ਯੂਨਿਕਸ-ਵਰਗੇ ਸਿਸਟਮਾਂ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਗੋਲਾਂਗ-ਅਧਾਰਤ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਦਾ ਵਰਣਨ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਸਨੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਲਈ ਇੱਕ IRC ਬੋਟ ਤੈਨਾਤ ਕੀਤਾ, ਨਿਰੰਤਰ ਰਿਮੋਟ ਐਕਸੈਸ ਲਈ ਇੱਕ ਵੈੱਬ ਸ਼ੈੱਲ ਸਥਾਪਤ ਕੀਤਾ, ਅਤੇ ਵਾਧੂ ਕਮਜ਼ੋਰ ਹੋਸਟਾਂ ਲਈ ਸਕੈਨ ਕਰਨ ਲਈ ਇੱਕ ਬਰੂਟ-ਫੋਰਸ ਮੋਡੀਊਲ ਪ੍ਰਾਪਤ ਕੀਤਾ।

ਸਤੰਬਰ 2025 ਤੱਕ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪਾਇਆ ਕਿ ਬੋਟਨੈੱਟ ਦੇ ਕੁਝ ਹਿੱਸੇ ਇੱਕ ਹੋਰ ਮਾਲਵੇਅਰ ਸਟ੍ਰੇਨ, ਸਿਸਟਮਬੀਸੀ ਦੇ ਨਾਲ ਮਿਲ ਕੇ ਕੰਮ ਕਰ ਰਹੇ ਸਨ, ਜੋ ਸਾਂਝੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਜਾਂ ਤਾਲਮੇਲ ਵਾਲੇ ਨਿਯੰਤਰਣ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ।

2025 ਦੇ ਮੱਧ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਤਕਨੀਕੀ ਛਾਲ ਮਾਰੀ ਗਈ। ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਇੱਕ ਹੋਰ ਉੱਨਤ ਰੂਪ ਦੀ ਪਛਾਣ ਕੀਤੀ ਜਿਸ ਵਿੱਚ ਗੋਲੰਗ ਵਿੱਚ ਦੁਬਾਰਾ ਲਿਖਿਆ ਗਿਆ ਇੱਕ ਬਹੁਤ ਜ਼ਿਆਦਾ ਅਸਪਸ਼ਟ IRC ਬੋਟ, ਵਧੀ ਹੋਈ ਸਥਿਰਤਾ ਵਿਧੀ, ਪ੍ਰਕਿਰਿਆ-ਮਾਸਕਿੰਗ ਸਮਰੱਥਾਵਾਂ, ਅਤੇ ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ ਪ੍ਰਬੰਧਿਤ ਪ੍ਰਮਾਣ ਪੱਤਰ ਸੂਚੀਆਂ ਸ਼ਾਮਲ ਹਨ ਜਿਨ੍ਹਾਂ ਨੂੰ ਮੰਗ 'ਤੇ ਅਪਡੇਟ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।

ਏਆਈ ਅਤੇ ਡਿਵੈਲਪਰ ਆਦਤਾਂ ਦੁਆਰਾ ਆਕਾਰ ਦਿੱਤੀ ਗਈ ਪ੍ਰਮਾਣਿਕ ਰਣਨੀਤੀ

ਮਾਲਵੇਅਰ ਦਾ ਬ੍ਰੂਟ-ਫੋਰਸ ਕੰਪੋਨੈਂਟ 'myuser:Abcd@123' ਜਾਂ 'appeaser:admin123456' ਵਰਗੇ ਆਮ ਯੂਜ਼ਰਨੇਮਾਂ ਅਤੇ ਪਾਸਵਰਡਾਂ ਦੇ ਕਿਉਰੇਟਿਡ ਸੰਜੋਗਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ। ਇਹ ਬੇਤਰਤੀਬ ਚੋਣ ਨਹੀਂ ਹਨ। ਬਹੁਤ ਸਾਰੇ ਡੇਟਾਬੇਸ ਟਿਊਟੋਰਿਅਲ, ਹੋਸਟਿੰਗ ਦਸਤਾਵੇਜ਼, ਅਤੇ ਵਿਕਰੇਤਾ ਉਦਾਹਰਣਾਂ ਤੋਂ ਉਤਪੰਨ ਹੁੰਦੇ ਹਨ—ਉਹ ਸਮੱਗਰੀ ਜੋ ਵੱਡੇ ਭਾਸ਼ਾ ਮਾਡਲ ਸਿਖਲਾਈ ਕਾਰਪੋਰਾ ਵਿੱਚ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਸ਼ਾਮਲ ਕੀਤੀ ਗਈ ਹੈ। ਨਤੀਜੇ ਵਜੋਂ, AI ਟੂਲ ਅਕਸਰ ਤਿਆਰ ਕੀਤੇ ਗਏ ਕੌਂਫਿਗਰੇਸ਼ਨ ਸਨਿੱਪਟਾਂ ਵਿੱਚ ਉਹੀ ਡਿਫਾਲਟ ਦੁਬਾਰਾ ਤਿਆਰ ਕਰਦੇ ਹਨ, ਅਣਜਾਣੇ ਵਿੱਚ ਤੈਨਾਤੀਆਂ ਵਿੱਚ ਕਮਜ਼ੋਰ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਮਾਨਕੀਕਰਨ ਕਰਦੇ ਹਨ।

ਰੋਟੇਸ਼ਨ ਰੈਫਰੈਂਸ ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਵਰਕਫਲੋ (ਜਿਵੇਂ ਕਿ 'ਕ੍ਰਿਪਟਾਊਜ਼ਰ,' 'ਐਪਕ੍ਰਿਪਟੋ,' 'ਕ੍ਰਿਪਟੋ_ਐਪ,' ਅਤੇ 'ਕ੍ਰਿਪਟੋ') ਵਿੱਚ ਵਾਧੂ ਉਪਭੋਗਤਾ ਨਾਮ ਜਾਂ ਖਾਸ ਤੌਰ 'ਤੇ phpMyAdmin ਵਾਤਾਵਰਣਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ 'ਰੂਟ,' 'ਵਰਡਪ੍ਰੈਸ,' ਅਤੇ 'wpuser' ਸ਼ਾਮਲ ਹਨ।

ਹਮਲਾਵਰ ਹਰੇਕ ਮੁਹਿੰਮ ਲਈ ਇੱਕ ਮੁਕਾਬਲਤਨ ਛੋਟਾ, ਸਥਿਰ ਪਾਸਵਰਡ ਪੂਲ ਬਣਾਈ ਰੱਖਦੇ ਹਨ, ਉਸ ਅਧਾਰ ਤੋਂ ਪ੍ਰਤੀ-ਕਾਰਜ ਸੂਚੀਆਂ ਨੂੰ ਤਾਜ਼ਾ ਕਰਦੇ ਹੋਏ ਉਪਭੋਗਤਾ ਨਾਮ ਅਤੇ ਵਿਸ਼ੇਸ਼ ਜੋੜਾਂ ਨੂੰ ਹਫ਼ਤੇ ਵਿੱਚ ਕਈ ਵਾਰ ਘੁੰਮਾਉਂਦੇ ਹਨ। FTP ਹਮਲਿਆਂ ਨੂੰ ਵੱਖਰੇ ਢੰਗ ਨਾਲ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ: ਬ੍ਰੂਟਫੋਰਸਰ ਬਾਈਨਰੀ ਵਿੱਚ ਇੱਕ ਹਾਰਡਕੋਡ ਕੀਤਾ ਗਿਆ ਪ੍ਰਮਾਣ ਪੱਤਰ ਸੈੱਟ ਹੁੰਦਾ ਹੈ ਜੋ ਡਿਫੌਲਟ ਵੈੱਬ-ਹੋਸਟਿੰਗ ਸਟੈਕਾਂ ਅਤੇ ਸੇਵਾ ਖਾਤਿਆਂ ਨਾਲ ਨੇੜਿਓਂ ਨਕਸ਼ੇ ਕਰਦਾ ਹੈ।

ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਅਤੇ ਬੋਟਨੈੱਟ ਸਮਰੱਥਾਵਾਂ

ਦੇਖੇ ਗਏ ਘੁਸਪੈਠ ਅਕਸਰ XAMPP ਸਰਵਰ 'ਤੇ ਇੰਟਰਨੈੱਟ-ਐਕਸਪੋਜ਼ਡ FTP ਸੇਵਾ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੇ ਹਨ। ਇੱਕ ਵਾਰ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਹਮਲਾਵਰ ਇੱਕ PHP ਵੈੱਬ ਸ਼ੈੱਲ ਅਪਲੋਡ ਕਰਦੇ ਹਨ। ਉਸ ਸ਼ੈੱਲ ਦੀ ਵਰਤੋਂ ਫਿਰ ਹੋਸਟ ਦੇ ਆਰਕੀਟੈਕਚਰ ਦੇ ਅਨੁਸਾਰ ਤਿਆਰ ਕੀਤੀ ਗਈ ਸ਼ੈੱਲ ਸਕ੍ਰਿਪਟ ਰਾਹੀਂ ਇੱਕ ਅੱਪਡੇਟ ਕੀਤੇ IRC ਬੋਟ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।

ਸਮਝੌਤਾ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਇੱਕ ਸੰਕਰਮਿਤ ਸਿਸਟਮ ਨੂੰ ਕਈ ਤਰੀਕਿਆਂ ਨਾਲ ਦੁਬਾਰਾ ਵਰਤਿਆ ਜਾ ਸਕਦਾ ਹੈ:

• ਇਹ ਇੰਟਰਨੈੱਟ 'ਤੇ FTP, MySQL, PostgreSQL, ਅਤੇ phpMyAdmin ਸੇਵਾਵਾਂ ਦੇ ਵਿਰੁੱਧ ਲੌਗਇਨ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਨ ਲਈ ਬ੍ਰੂਟ-ਫੋਰਸ ਮੋਡੀਊਲ ਚਲਾਉਂਦਾ ਹੈ।
• ਇਹ ਨਵੀਆਂ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਮਸ਼ੀਨਾਂ ਨੂੰ ਖਤਰਨਾਕ ਪੇਲੋਡਾਂ ਦੀ ਮੇਜ਼ਬਾਨੀ ਅਤੇ ਵੰਡ ਕਰਦਾ ਹੈ।
• ਇਹ ਬੋਟਨੈੱਟ ਲਚਕਤਾ ਨੂੰ ਬਿਹਤਰ ਬਣਾਉਣ ਲਈ IRC-ਸ਼ੈਲੀ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਐਂਡਪੁਆਇੰਟ ਜਾਂ ਫਾਲਬੈਕ C2 ਸਰਵਰ ਵਜੋਂ ਫੰਕਸ਼ਨ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।

ਬਲਾਕਚੈਨ-ਕੇਂਦ੍ਰਿਤ ਕਾਰਜਾਂ ਦਾ ਸਿੱਧਾ ਸਬੂਤ

ਹੋਰ ਜਾਂਚ ਤੋਂ ਪਤਾ ਲੱਗਾ ਕਿ ਘੱਟੋ-ਘੱਟ ਇੱਕ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਸਰਵਰ ਇੱਕ ਵਿਸ਼ੇਸ਼ ਮਾਡਿਊਲ ਸਟੇਜ ਕਰ ਰਿਹਾ ਸੀ ਜੋ TRON ਬਲਾਕਚੈਨ ਪਤਿਆਂ ਦੀ ਸੂਚੀ ਰਾਹੀਂ ਦੁਹਰਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ। ਜਨਤਕ tronscanapi.com ਸੇਵਾ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਮਾਲਵੇਅਰ ਨੇ ਗੈਰ-ਜ਼ੀਰੋ ਫੰਡ ਰੱਖਣ ਵਾਲੇ ਵਾਲਿਟ ਦੀ ਪਛਾਣ ਕਰਨ ਲਈ ਖਾਤੇ ਦੇ ਬਕਾਏ ਦੀ ਪੁੱਛਗਿੱਛ ਕੀਤੀ। ਇਹ ਸਮਰੱਥਾ ਸਿਰਫ਼ ਮੌਕਾਪ੍ਰਸਤ ਸਕੈਨਿੰਗ ਦੀ ਬਜਾਏ ਬਲਾਕਚੈਨ ਪ੍ਰੋਜੈਕਟਾਂ ਅਤੇ ਕ੍ਰਿਪਟੋ-ਸਬੰਧਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ 'ਤੇ ਉਦੇਸ਼ਿਤ ਜਾਣਬੁੱਝ ਕੇ ਖੋਜ ਦਾ ਜ਼ੋਰਦਾਰ ਸੁਝਾਅ ਦਿੰਦੀ ਹੈ।

ਡਿਫੈਂਡਰਾਂ ਲਈ ਇੱਕ ਨਿਰੰਤਰ ਸਬਕ

GoBruteforcer ਇੱਕ ਵਿਆਪਕ, ਚੱਲ ਰਹੀ ਸੁਰੱਖਿਆ ਅਸਫਲਤਾ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ: ਬੇਨਕਾਬ ਸੇਵਾਵਾਂ, ਕਮਜ਼ੋਰ ਜਾਂ ਰੀਸਾਈਕਲ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ, ਅਤੇ ਵਧਦੀ ਆਟੋਮੇਟਿਡ ਅਟੈਕ ਟੂਲਿੰਗ ਦਾ ਖ਼ਤਰਨਾਕ ਇੰਟਰਸੈਕਸ਼ਨ। ਜਦੋਂ ਕਿ ਬੋਟਨੈੱਟ ਖੁਦ ਤਕਨੀਕੀ ਤੌਰ 'ਤੇ ਇਨਕਲਾਬੀ ਨਹੀਂ ਹੈ, ਇਸਦੇ ਸੰਚਾਲਕਾਂ ਨੂੰ ਜਨਤਕ ਇੰਟਰਨੈਟ 'ਤੇ ਅਜੇ ਵੀ ਪਹੁੰਚਯੋਗ ਗਲਤ ਸੰਰਚਿਤ ਸਰਵਰਾਂ ਦੀ ਵੱਡੀ ਮਾਤਰਾ ਤੋਂ ਬਹੁਤ ਲਾਭ ਹੁੰਦਾ ਹੈ।

ਡਿਫੈਂਡਰਾਂ ਲਈ, ਇਹ ਮੁਹਿੰਮ ਇੱਕ ਜਾਣੇ-ਪਛਾਣੇ ਪਰ ਮਹੱਤਵਪੂਰਨ ਸੰਦੇਸ਼ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਦੀ ਹੈ: ਡਿਫਾਲਟ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਖਤਮ ਕਰਨਾ, ਪ੍ਰਸ਼ਾਸਕੀ ਇੰਟਰਫੇਸਾਂ ਨੂੰ ਸੀਮਤ ਕਰਨਾ, ਵਿਰਾਸਤੀ ਸਟੈਕਾਂ ਨੂੰ ਰਿਟਾਇਰ ਕਰਨਾ, ਅਤੇ AI-ਤਿਆਰ ਤੈਨਾਤੀ ਉਦਾਹਰਣਾਂ ਨੂੰ ਉਤਪਾਦਨ-ਤਿਆਰ ਸੰਰਚਨਾਵਾਂ ਦੀ ਬਜਾਏ ਅਵਿਸ਼ਵਾਸਯੋਗ ਸ਼ੁਰੂਆਤੀ ਬਿੰਦੂਆਂ ਵਜੋਂ ਮੰਨਣਾ।