Попуст за више лиценци
Тхреат Датабасе Малваре Напади ботнета на GoBruteforcer

Напади ботнета на GoBruteforcer

До Mezo. у Малваре, Ботнети
Преведи на:

Обновљени талас активности GoBruteforcer-а активно циља базе података повезане са криптовалутама и блокчејн пројектима. Нападачи кооптирају рањиве сервере у дистрибуирану ботнет мрежу способну за извођење великих напада грубом силом на уобичајене сервисе, укључујући FTP, MySQL, PostgreSQL и phpMyAdmin на Linux системима.

Ова кампања није неселективна. Докази показују јасан фокус на инфраструктуру повезану са блокчејн екосистемима, што одражава и финансијску мотивацију и обиље лоше обезбеђених развојних окружења у овом сектору.

Зашто ова кампања добија на замаху

Два конвергентна тренда подстичу тренутни пораст. Прво, администратори све више поново користе водиче за имплементацију и примере сервера генерисане вештачком интелигенцијом, од којих многи реплицирају иста слаба подразумевана корисничка имена и акредитиве који се налазе у онлајн туторијалима и документацији. Друго, застарели веб стекови, посебно XAMPP инсталације, настављају да се имплементирају са изложеним FTP сервисима и административним интерфејсима којима недостаје адекватно јачање.

Заједно, ови услови пружају нападачима предвидљиву и плодну површину за напад.

Од порекла из 2023. до опасније варијанте из 2025.

GoBruteforcer, такође познат као GoBrut, првобитно је документован у марту 2023. године. Рана истраживања описују породицу злонамерног софтвера засновану на Golang-у, дизајнирану за Unix-сличне системе на x86, x64 и ARM архитектурама. Распоређивао је IRC бот за командовање и контролу, инсталирао веб шкољку за трајни даљински приступ и преузимао модул за грубу силу за скенирање додатних рањивих хостова.

До септембра 2025. године, истраживачи су открили да делови ботнета раде заједно са другим сојем злонамерног софтвера, SystemBC, што указује на заједничку инфраструктуру или координисану контролу.

Средином 2025. године дошло је до значајног техничког скока. Аналитичари су идентификовали напреднију варијанту са јако замагљеним IRC ботом преписаним у Голангу, побољшаним механизмима перзистентности, могућностима маскирања процеса и динамички управљаним листама акредитива које се могу ажурирати по потреби.

Стратегија акредитива обликована вештачком интелигенцијом и навикама програмера

Компонента грубе силе малвера ослања се на куриране комбинације уобичајених корисничких имена и лозинки као што су „myuser:Abcd@123“ или „appeaser:admin123456“. Ово нису случајни избори. Многи потичу из туторијала за базе података, документације о хостингу и примера добављача – материјала који су широко уграђени у велике корпусе за обуку језичких модела. Као резултат тога, алати за вештачку интелигенцију често репродукују исте подразумеване вредности у генерисаним фрагментима конфигурације, ненамерно стандардизујући слабе акредитиве у различитим имплементацијама.

Додатна корисничка имена у ротацији се односе на радне процесе криптовалута (као што су „cryptouser“, „appcrypto“, „crypto_app“ и „crypto“) или се посебно односе на phpMyAdmin окружења, укључујући „root“, „wordpress“ и „wpuser“.

Нападачи одржавају релативно мали, стабилан пул лозинки за сваку кампању, освежавајући листе по задатку из те базе док ротирају корисничка имена и додају лозинке у нишу више пута недељно. ФТП напади се третирају другачије: бинарни фајл Bruteforcer-а садржи чврсто кодирани скуп акредитива који се блиско мапира на подразумеване стекове веб хостинга и сервисне налоге.

Ланац инфекције и могућности ботнета

Уочени упади најчешће почињу са FTP сервисом изложеном интернету на XAMPP серверу. Када се добије приступ, нападачи отпремају PHP веб шел. Тај шел се затим користи за преузимање и извршавање ажурираног IRC бота путем шел скрипте прилагођене архитектури хоста.

Након компромитовања, заражени систем се може пренаменити на неколико начина:

  • Покреће модуле за грубу силу како би покушао да се пријави на FTP, MySQL, PostgreSQL и phpMyAdmin сервисе широм интернета.
  • Он хостује и дистрибуира злонамерне корисне садржаје на новокомпромитоване машине.
  • Пружа крајње тачке командовања и контроле у IRC стилу или функционише као резервни C2 сервер за побољшање отпорности ботнета.

Директни докази о операцијама усмереним на блокчејн

Даља истрага је открила да је најмање један компромитовани сервер инсталирао специјализовани модул дизајниран за итерацију кроз листу TRON блокчејн адреса. Користећи јавну услугу tronscanapi.com, злонамерни софтвер је испитивао стање на рачунима како би идентификовао новчанике који су садржали средства различита од нуле. Ова могућност снажно указује на намерно извиђање усмерено на блокчејн пројекте и инфраструктуру повезану са криптовалутама, а не само на опортунистичко скенирање.

Стална лекција за браниоце

GoBruteforcer илуструје шири, континуирани безбедносни пропуст: опасну комбинацију изложених сервиса, слабих или рециклираних акредитива и све аутоматизованијих алата за нападе. Иако сам ботнет није технички револуционаран, његови оператери имају огромне користи од велике количине погрешно конфигурисаних сервера који су и даље доступни на јавном интернету.

За браниоце, ова кампања појачава познату, али кључну поруку: елиминишите подразумеване акредитиве, ограничите административне интерфејсе, повуците застареле стекове и третирајте примере имплементације генерисане вештачком интелигенцијом као непоуздане почетне тачке, а не као конфигурације спремне за производњу.

У тренду

Најгледанији

Злонамерних програма

Пецање, Спам
29,007
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...