Rabattoffert för flera licenser
Hotdatabas Skadlig programvara GoBruteforcer Botnätattacker

GoBruteforcer Botnätattacker

Med Mezo år Skadlig programvara, Botnät
Översätt till:

En förnyad våg av GoBruteforcer-aktivitet riktar sig aktivt mot databaser kopplade till kryptovaluta- och blockkedjeprojekt. Angriparna integrerar sårbara servrar i ett distribuerat botnät som kan utföra storskaliga brute-force-attacker mot vanliga tjänster, inklusive FTP, MySQL, PostgreSQL och phpMyAdmin på Linux-system.

Denna kampanj är inte urskillningslös. Det finns bevis som visar ett tydligt fokus på infrastruktur kopplad till blockkedjeekosystem, vilket återspeglar både ekonomisk motivation och det stora antalet dåligt säkrade utvecklingsmiljöer inom denna sektor.

Varför den här kampanjen får fart

Två konvergerande trender driver den nuvarande ökningen. För det första återanvänder administratörer i allt större utsträckning AI-genererade distributionsguider och serverexempel, av vilka många replikerar samma svaga standardanvändarnamn och inloggningsuppgifter som finns i online-handledningar och dokumentation. För det andra fortsätter äldre webbstackar, särskilt XAMPP-installationer, att driftsättas med exponerade FTP-tjänster och administrativa gränssnitt som saknar tillräcklig härdning.

Tillsammans ger dessa förhållanden angripare en förutsägbar och bördig attackyta.

Från 2023 års ursprung till en farligare 2025-variant

GoBruteforcer, även känt som GoBrut, dokumenterades ursprungligen i mars 2023. Tidig forskning beskrev en Golang-baserad familj av skadlig kod designad för Unix-liknande system i x86-, x64- och ARM-arkitekturer. Den distribuerade en IRC-bot för kommando-och-kontroll, installerade ett webbskal för ihållande fjärråtkomst och hämtade en brute-force-modul för att söka efter ytterligare sårbara värdar.

I september 2025 upptäckte forskare att delar av botnätet fungerade tillsammans med en annan skadlig kodstam, SystemBC, vilket tyder på delad infrastruktur eller samordnad kontroll.

Mitten av 2025 markerade ett betydande tekniskt språng. Analytiker identifierade en mer avancerad variant med en kraftigt obfuskerad IRC-bot omskriven i Golang, förbättrade persistensmekanismer, processmaskeringsfunktioner och dynamiskt hanterade inloggningsuppgifter som kunde uppdateras på begäran.

Autentiseringsstrategi formad av AI och utvecklarvanor

Den skadliga programvarans brute-force-komponent förlitar sig på noggrant utvalda kombinationer av vanliga användarnamn och lösenord, till exempel "myuser:Abcd@123" eller "appeaser:admin123456". Dessa är inte slumpmässiga val. Många kommer från databashandledningar, webbhotellsdokumentation och leverantörsexempel – material som i stor utsträckning har införlivats i stora utbildningsmaterial för språkmodeller. Som ett resultat reproducerar AI-verktyg ofta samma standardvärden i genererade konfigurationskodavsnitt, vilket oavsiktligt standardiserar svaga autentiseringsuppgifter mellan distributioner.

Ytterligare användarnamn i rotationen refererar till kryptovaluta-arbetsflöden (som 'cryptouser', 'appcrypto', 'crypto_app' och 'crypto') eller riktar sig specifikt mot phpMyAdmin-miljöer, inklusive 'root', 'wordpress' och 'wpuser'.

Angripare upprätthåller en relativt liten, stabil lösenordspool för varje kampanj och uppdaterar listor per uppgift från den basen samtidigt som de roterar användarnamn och nischtillägg flera gånger per vecka. FTP-attacker behandlas olika: bruteforcer-binärfilen innehåller en hårdkodad uppsättning autentiseringsuppgifter som mappas nära till standardwebbhotellstackar och tjänstkonton.

Infektionskedjan och botnätets kapacitet

Observerade intrång börjar oftast med en internet-exponerad FTP-tjänst på en XAMPP-server. När åtkomst uppnås laddar angriparna upp ett PHP-webbshell. Det skalet används sedan för att hämta och köra en uppdaterad IRC-bot via ett skalskript som är anpassat till värdens arkitektur.

Efter att ett infekterat system har blivit komprometterat kan det återanvändas på flera sätt:

  • Den kör brute-force-moduler för att försöka inlogga mot FTP-, MySQL-, PostgreSQL- och phpMyAdmin-tjänster över internet.
  • Den är värd för och distribuerar skadliga nyttolaster till nyligen komprometterade maskiner.
  • Den tillhandahåller IRC-liknande kommando- och kontrollslutpunkter eller fungerar som en reserv-C2-server för att förbättra botnätets motståndskraft.

Direkta bevis på blockkedjefokuserad verksamhet

Vidare undersökningar visade att minst en komprometterad server använde en specialiserad modul utformad för att iterera igenom en lista med TRON-blockchainadresser. Med hjälp av den publika tjänsten tronscanapi.com undersökte skadlig programvara kontosaldon för att identifiera plånböcker som innehöll medel som inte var noll. Denna funktion tyder starkt på avsiktlig rekognoscering riktad mot blockchainprojekt och kryptorelaterad infrastruktur snarare än enbart opportunistisk skanning.

En bestående läxa för försvarare

GoBruteforcer illustrerar ett bredare, pågående säkerhetsbrist: den farliga skärningspunkten mellan exponerade tjänster, svaga eller återanvända autentiseringsuppgifter och alltmer automatiserade attackverktyg. Även om botnätet i sig inte är tekniskt banbrytande, gynnas dess operatörer enormt av den stora mängden felkonfigurerade servrar som fortfarande är tillgängliga på det offentliga internet.

För försvarare förstärker den här kampanjen ett välbekant men viktigt budskap: eliminera standardinloggningsuppgifter, begränsa administrativa gränssnitt, ta bort äldre stackar och behandla AI-genererade implementeringsexempel som otillförlitliga utgångspunkter snarare än produktionsklara konfigurationer.

Trendigt

Mest sedda

Läser in...