Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Napadi botneta GoBruteforcer

Napadi botneta GoBruteforcer

Do leta Mezo leta Zlonamerna programska oprema, Botneti
Prevedi v:

Obnovljen val aktivnosti GoBruteforcerja aktivno cilja na podatkovne baze, povezane s projekti kriptovalut in veriženja blokov. Napadalci vključujejo ranljive strežnike v porazdeljeno botnet omrežje, ki je sposobno izvajati obsežne napade s surovo silo na običajne storitve, vključno s FTP, MySQL, PostgreSQL in phpMyAdmin v sistemih Linux.

Ta kampanja ni neselektivna. Dokazi kažejo jasen poudarek na infrastrukturi, povezani z ekosistemi veriženja blokov, kar odraža tako finančno motivacijo kot tudi obilico slabo zavarovanih razvojnih okolij v tem sektorju.

Zakaj ta kampanja pridobiva zagon

Trenutni porast spodbujata dva prepletajoča se trenda. Prvič, skrbniki vse pogosteje ponovno uporabljajo priročnike za uvajanje in primere strežnikov, ki jih ustvari umetna inteligenca, od katerih mnogi ponavljajo ista šibka privzeta uporabniška imena in poverilnice, ki jih najdemo v spletnih vadnicah in dokumentaciji. Drugič, starejši spletni skladi, zlasti namestitve XAMPP, se še naprej uvajajo z izpostavljenimi storitvami FTP in skrbniškimi vmesniki, ki nimajo ustrezne zaščite.

Ti pogoji skupaj napadalcem zagotavljajo predvidljivo in plodno površino za napad.

Od začetkov leta 2023 do bolj nevarne različice leta 2025

GoBruteforcer, znan tudi kot GoBrut, je bil prvič dokumentiran marca 2023. Zgodnje raziskave so opisovale družino zlonamerne programske opreme, ki temelji na Golangu in je bila zasnovana za Unixu podobne sisteme z arhitekturami x86, x64 in ARM. Namestila je IRC bota za upravljanje in nadzor, namestila spletno lupino za trajen oddaljeni dostop in pridobila modul za grobo silo za skeniranje dodatnih ranljivih gostiteljev.

Do septembra 2025 so raziskovalci odkrili, da deli botneta delujejo skupaj z drugim sevom zlonamerne programske opreme, SystemBC, kar kaže na skupno infrastrukturo ali usklajen nadzor.

Sredi leta 2025 je prišlo do pomembnega tehničnega preskok. Analitiki so odkrili naprednejšo različico z močno zakritim IRC botom, prepisanim v Golangu, izboljšanimi mehanizmi vztrajnosti, zmogljivostmi maskiranja procesov in dinamično upravljanimi seznami poverilnic, ki jih je mogoče posodabljati na zahtevo.

Strategija poverilnic, ki jo oblikujejo umetna inteligenca in navade razvijalcev

Komponenta surove sile zlonamerne programske opreme se zanaša na kurirane kombinacije običajnih uporabniških imen in gesel, kot sta »myuser:Abcd@123« ali »appeaser:admin123456«. To niso naključne izbire. Številne izvirajo iz vadnic za baze podatkov, dokumentacije za gostovanje in primerov prodajalcev – gradiv, ki so bila široko uporabljena v velikih korpusih za učenje jezikovnih modelov. Posledično orodja umetne inteligence pogosto reproducirajo iste privzete nastavitve v ustvarjenih delčkih konfiguracije, s čimer nenamerno standardizirajo šibke poverilnice v različnih uvedbah.

Dodatna uporabniška imena v rotaciji se nanašajo na delovne tokove kriptovalut (kot so »cryptouser«, »appcrypto«, »crypto_app« in »crypto«) ali pa so posebej namenjena okoljem phpMyAdmin, vključno z »root«, »wordpress« in »wpuser«.

Napadalci vzdržujejo relativno majhen, stabilen nabor gesel za vsako kampanjo, pri čemer osvežujejo sezname gesel za vsako opravilo iz te baze, hkrati pa večkrat na teden menjajo uporabniška imena in nišne dodatke. Napadi FTP se obravnavajo drugače: binarna datoteka bruteforcer vsebuje trdo kodiran nabor poverilnic, ki se tesno preslika na privzete sklade spletnega gostovanja in račune storitev.

Veriga okužbe in zmogljivosti botneta

Opazovani vdori se najpogosteje začnejo z internetno izpostavljeno storitvijo FTP na strežniku XAMPP. Ko je dostop pridobljen, napadalci naložijo spletno lupino PHP. Ta lupina se nato uporabi za pridobivanje in izvajanje posodobljenega bota IRC prek skripta lupine, prilagojenega arhitekturi gostitelja.

Po okuženju je mogoče okuženi sistem ponovno uporabiti na več načinov:

  • Izvaja module za grobo silo, ki poskušajo prijaviti v storitve FTP, MySQL, PostgreSQL in phpMyAdmin po internetu.
  • Gosti in distribuira zlonamerne koristne tovore na novo ogrožene stroje.
  • Zagotavlja končne točke za upravljanje in nadzor v slogu IRC ali deluje kot rezervni strežnik C2 za izboljšanje odpornosti botnetov.

Neposredni dokazi o operacijah, osredotočenih na veriženje blokov

Nadaljnja preiskava je pokazala, da je vsaj en ogroženi strežnik nameščal specializiran modul, zasnovan za iteracijo po seznamu naslovov verige blokov TRON. Zlonamerna programska oprema je s pomočjo javne storitve tronscanapi.com preverjala stanje na računih, da bi identificirala denarnice z neničelnimi sredstvi. Ta zmožnost močno kaže na namerno izvidovanje, usmerjeno v projekte verige blokov in infrastrukturo, povezano s kriptovalutami, in ne zgolj na oportunistično skeniranje.

Vztrajna lekcija za branilce

GoBruteforcer ponazarja širšo, nenehno varnostno pomanjkljivost: nevarno prepletanje izpostavljenih storitev, šibkih ali recikliranih poverilnic in vse bolj avtomatiziranih orodij za napade. Čeprav botnet sam po sebi ni tehnično prelomen, imajo njegovi operaterji ogromne koristi od same količine napačno konfiguriranih strežnikov, ki so še vedno dostopni na javnem internetu.

Za zagovornike ta kampanja krepi znano, a ključno sporočilo: odpravite privzete poverilnice, omejite skrbniške vmesnike, umaknite starejše sklade in obravnavajte primere uvajanja, ki jih ustvari umetna inteligenca, kot nezanesljiva izhodišča in ne kot konfiguracije, pripravljene za produkcijo.

V trendu

Najbolj gledan

Nalaganje...