GoBruteforcer Botnet Attacks
Një valë e ripërtërirë aktiviteti GoBruteforcer po synon në mënyrë aktive bazat e të dhënave të lidhura me projektet e kriptomonedhave dhe blockchain. Sulmuesit po i bashkojnë serverët e cenueshëm në një botnet të shpërndarë të aftë për të kryer sulme brutale në shkallë të gjerë kundër shërbimeve të zakonshme, duke përfshirë FTP, MySQL, PostgreSQL dhe phpMyAdmin në sistemet Linux.
Kjo fushatë nuk është e pakontrollueshme. Provat tregojnë një fokus të qartë në infrastrukturën e lidhur me ekosistemet blockchain, duke reflektuar si motivimin financiar ashtu edhe bollëkun e mjediseve të zhvillimit të siguruara dobët në këtë sektor.
Tabela e Përmbajtjes
Pse kjo fushatë po fiton vrull
Dy tendenca konvergjente po nxisin rritjen aktuale. Së pari, administratorët po ripërdorin gjithnjë e më shumë udhëzues të shpërndarjes dhe shembuj serverësh të gjeneruar nga IA, shumë prej të cilëve kopjojnë të njëjtat emra përdoruesish dhe kredenciale të dobëta parazgjedhjeje që gjenden në tutoriale dhe dokumentacion online. Së dyti, pirgjet e vjetra të internetit, veçanërisht instalimet XAMPP, vazhdojnë të shpërndahen me shërbime të ekspozuara FTP dhe ndërfaqe administrative që nuk kanë forcim të mjaftueshëm.
Së bashku, këto kushte u ofrojnë sulmuesve një sipërfaqe sulmi të parashikueshme dhe pjellore.
Nga Origjina e vitit 2023 në një Variant më të Rrezikshëm të vitit 2025
GoBruteforcer, i njohur edhe si GoBrut, u dokumentua fillimisht në mars të vitit 2023. Hulumtimet e hershme përshkruan një familje programesh keqdashëse të bazuara në Golang, të projektuara për sisteme të ngjashme me Unix në arkitekturat x86, x64 dhe ARM. Ai vendosi një bot IRC për komandë dhe kontroll, instaloi një shell web për akses të vazhdueshëm në distancë dhe mori një modul brute-force për të skanuar për hoste të tjerë të cenueshëm.
Deri në shtator të vitit 2025, studiuesit zbuluan se pjesë të botnet-it po vepronin në bashkëpunim me një lloj tjetër malware-i, SystemBC, duke treguar infrastrukturë të përbashkët ose kontroll të koordinuar.
Mesi i vitit 2025 shënoi një hap të rëndësishëm teknik. Analistët identifikuan një variant më të avancuar që paraqiste një robot IRC shumë të paqartë të rishkruar në Golang, mekanizma të përmirësuar të persistencës, aftësi maskimi të proceseve dhe lista kredencialesh të menaxhuara dinamikisht që mund të përditësoheshin sipas kërkesës.
Strategjia e Kredencialeve e Formësuar nga IA dhe Zakonet e Zhvilluesve
Komponenti brut-force i malware-it mbështetet në kombinime të kuruara të emrave të përdoruesit dhe fjalëkalimeve të zakonshme, të tilla si 'myuser:Abcd@123' ose 'appeaser:admin123456'. Këto nuk janë përzgjedhje të rastësishme. Shumë prej tyre burojnë nga tutoriale të bazave të të dhënave, dokumentacion strehimi dhe shembuj të shitësve - materiale që janë përfshirë gjerësisht në korpuse të mëdha trajnimi të modeleve gjuhësore. Si rezultat, mjetet e inteligjencës artificiale shpesh riprodhojnë të njëjtat parazgjedhje në fragmente të konfigurimit të gjeneruara, duke standardizuar pa dashje kredencialet e dobëta në të gjitha vendosjet.
Emrat shtesë të përdoruesit në rotacion i referohen rrjedhave të punës së kriptomonedhave (si p.sh. 'cryptouser', 'appcrypto', 'crypto_app' dhe 'crypto') ose synojnë posaçërisht mjediset phpMyAdmin, duke përfshirë 'root', 'wordpress' dhe 'wpuser'.
Sulmuesit mbajnë një grup fjalëkalimesh relativisht të vogël dhe të qëndrueshëm për secilën fushatë, duke rifreskuar listat për çdo detyrë nga ajo bazë ndërsa alternojnë emrat e përdoruesit dhe shtesat e specifikuara disa herë në javë. Sulmet FTP trajtohen ndryshe: skedari binar bruteforcer përmban një grup kredencialesh të koduara fort që lidhet ngushtë me raftet e parazgjedhura të strehimit të faqeve në internet dhe llogaritë e shërbimeve.
Zinxhiri i Infeksionit dhe Aftësitë e Botnet-it
Ndërhyrjet e vëzhguara më shpesh fillojnë me një shërbim FTP të ekspozuar ndaj internetit në një server XAMPP. Pasi të fitohet qasja, sulmuesit ngarkojnë një shell web PHP. Ky shell përdoret më pas për të marrë dhe ekzekutuar një bot IRC të përditësuar nëpërmjet një skripti shell të përshtatur për arkitekturën e hostit.
Pas kompromentimit, një sistem i infektuar mund të ripërdoret në disa mënyra:
- Ai ekzekuton module me forcë brute për të provuar hyrjet në shërbimet FTP, MySQL, PostgreSQL dhe phpMyAdmin në të gjithë internetin.
- Ai strehon dhe shpërndan ngarkesa dashakeqe te makinat e kompromentuara rishtazi.
- Ai ofron pika fundore komande dhe kontrolli në stilin IRC ose funksionon si një server rezervë C2 për të përmirësuar rezistencën ndaj botnet-it.
Dëshmi e drejtpërdrejtë e operacioneve të fokusuara në Blockchain
Hetimet e mëtejshme zbuluan se të paktën një server i kompromentuar po instalonte një modul të specializuar të projektuar për të përsëritur përmes një liste adresash të blockchain-it TRON. Duke përdorur shërbimin publik tronscanapi.com, malware-i kontrolloi bilancet e llogarive për të identifikuar portofolet që mbanin fonde jo-zero. Kjo aftësi sugjeron fuqimisht një zbulim të qëllimshëm që synonte projektet e blockchain-it dhe infrastrukturën e lidhur me kripto-valutat, në vend të vetëm skanimit oportunist.
Një mësim i vazhdueshëm për mbrojtësit
GoBruteforcer ilustron një dështim më të gjerë dhe të vazhdueshëm të sigurisë: kryqëzimin e rrezikshëm të shërbimeve të ekspozuara, kredencialet e dobëta ose të ricikluara dhe mjetet e sulmit gjithnjë e më të automatizuara. Ndërsa vetë botneti nuk është teknikisht inovativ, operatorët e tij përfitojnë jashtëzakonisht shumë nga vëllimi i madh i serverëve të konfiguruar gabim që janë ende të arritshëm në internetin publik.
Për mbrojtësit, kjo fushatë përforcon një mesazh të njohur, por kritik: eliminoni kredencialet standarde, kufizoni ndërfaqet administrative, tërhiqni skelat e trashëguara dhe trajtoni shembujt e shpërndarjes së gjeneruar nga inteligjenca artificiale si pika fillestare të pabesueshme në vend të konfigurimeve të gatshme për prodhim.
