Атаки ботнета GoBruteforcer
Вновь активизировалась волна атак GoBruteforcer, направленных на базы данных, связанные с криптовалютными и блокчейн-проектами. Злоумышленники используют уязвимые серверы для создания распределенной ботнет-сети, способной осуществлять крупномасштабные атаки методом перебора паролей на распространенные сервисы, включая FTP, MySQL, PostgreSQL и phpMyAdmin в системах Linux.
Эта кампания не носит неизбирательный характер. Имеющиеся данные свидетельствуют о явной ориентации на инфраструктуру, связанную с блокчейн-экосистемами, что отражает как финансовую мотивацию, так и обилие плохо защищенных сред разработки в этом секторе.
Оглавление
Почему эта кампания набирает обороты
Нынешний всплеск активности обусловлен двумя взаимосвязанными тенденциями. Во-первых, администраторы все чаще повторно используют созданные с помощью ИИ руководства по развертыванию и примеры серверов, многие из которых повторяют те же слабые имена пользователей и учетные данные по умолчанию, которые можно найти в онлайн-уроках и документации. Во-вторых, устаревшие веб-стеки, особенно установки XAMPP, продолжают развертываться с открытыми FTP-сервисами и административными интерфейсами, которые не имеют достаточной защиты.
В совокупности эти условия предоставляют злоумышленникам предсказуемую и благоприятную почву для атак.
От истоков 2023 года до более опасного варианта 2025 года
GoBruteforcer, также известный как GoBrut, был впервые описан в марте 2023 года. Ранние исследования описывали семейство вредоносных программ на основе Golang, предназначенных для Unix-подобных систем на архитектурах x86, x64 и ARM. Он развертывал IRC-бота для управления и контроля, устанавливал веб-оболочку для постоянного удаленного доступа и извлекал модуль для перебора паролей с целью сканирования на наличие дополнительных уязвимых хостов.
К сентябрю 2025 года исследователи обнаружили, что часть ботнета работала в тандеме с другим штаммом вредоносного ПО, SystemBC, что указывало на общую инфраструктуру или скоординированное управление.
В середине 2025 года произошел значительный технический скачок. Аналитики выявили более продвинутый вариант, включающий сильно обфусцированный IRC-бот, переписанный на Golang, улучшенные механизмы сохранения активности, возможности маскировки процессов и динамически управляемые списки учетных данных, которые можно обновлять по запросу.
Стратегия в области учетных данных сформирована с учетом искусственного интеллекта и привычек разработчиков.
Компонент вредоносной программы, использующий метод перебора паролей, основан на тщательно подобранных комбинациях распространенных имен пользователей и паролей, таких как «myuser:Abcd@123» или «appeaser:admin123456». Это не случайные комбинации. Многие из них взяты из руководств по базам данных, документации по хостингу и примеров от поставщиков — материалов, которые широко используются в больших корпусах для обучения языковых моделей. В результате инструменты искусственного интеллекта часто воспроизводят одни и те же значения по умолчанию в сгенерированных фрагментах конфигурации, непреднамеренно стандартизируя слабые учетные данные в разных развертываниях.
В ротацию также включены дополнительные имена пользователей, относящиеся к рабочим процессам, связанным с криптовалютами (например, 'cryptouser', 'appcrypto', 'crypto_app' и 'crypto'), или специально предназначенные для работы в среде phpMyAdmin, включая 'root', 'wordpress' и 'wpuser'.
Злоумышленники поддерживают относительно небольшой, стабильный пул паролей для каждой кампании, обновляя списки паролей для каждой задачи из этой базы, при этом несколько раз в неделю меняя имена пользователей и добавляя специфические пароли. Атаки на FTP обрабатываются иначе: исполняемый файл программы для перебора паролей содержит жестко закодированный набор учетных данных, который точно соответствует стандартным стекам веб-хостинга и учетным записям служб.
Цепочка заражения и возможности ботнетов
Чаще всего вторжения начинаются с доступа к FTP-сервису, расположенному в интернете на сервере XAMPP. Получив доступ, злоумышленники загружают веб-оболочку на PHP. Затем эта оболочка используется для загрузки и запуска обновленного IRC-бота с помощью скрипта, адаптированного под архитектуру хоста.
После взлома зараженную систему можно использовать повторно несколькими способами:
- Он запускает модули перебора паролей для попыток входа в системы через FTP, MySQL, PostgreSQL и phpMyAdmin в интернете.
- Она размещает и распространяет вредоносные программы на недавно скомпрометированные машины.
- Он предоставляет командно-контрольные точки в стиле IRC или функционирует в качестве резервного сервера управления и контроля для повышения устойчивости ботнетов.
Прямые доказательства деятельности, ориентированной на блокчейн.
Дальнейшее расследование показало, что по меньшей мере на одном скомпрометированном сервере был запущен специализированный модуль, предназначенный для перебора списка адресов блокчейна TRON. Используя общедоступный сервис tronscanapi.com, вредоносная программа запрашивала балансы счетов для выявления кошельков с ненулевыми средствами. Эта возможность убедительно свидетельствует о целенаправленной разведке, направленной на блокчейн-проекты и криптоинфраструктуру, а не просто об оппортунистическом сканировании.
Наглядный урок для защитников
GoBruteforcer иллюстрирует более масштабную и продолжающуюся проблему безопасности: опасное сочетание открытых сервисов, слабых или повторно используемых учетных данных и все более автоматизированных инструментов атаки. Хотя сам ботнет технически не является чем-то революционным, его операторы получают огромную выгоду от огромного количества неправильно настроенных серверов, все еще доступных в открытом доступе в интернете.
Для специалистов по кибербезопасности эта кампания подкрепляет знакомое, но крайне важное послание: откажитесь от учетных данных по умолчанию, ограничьте доступ к административным интерфейсам, откажитесь от устаревших стеков и рассматривайте сгенерированные ИИ примеры развертывания как ненадежные отправные точки, а не как готовые к использованию в производственной среде конфигурации.
