การโจมตีบอทเน็ต GoBruteforcer

กลุ่มแฮ็กเกอร์ GoBruteforcer กำลังกลับมาโจมตีฐานข้อมูลที่เกี่ยวข้องกับโครงการสกุลเงินดิจิทัลและบล็อกเชนอีกครั้ง โดยผู้โจมตีได้ใช้เซิร์ฟเวอร์ที่มีช่องโหว่มาสร้างเป็นบอทเน็ตแบบกระจายศูนย์ ซึ่งสามารถทำการโจมตีแบบ Brute-force ขนาดใหญ่กับบริการทั่วไป เช่น FTP, MySQL, PostgreSQL และ phpMyAdmin บนระบบ Linux ได้

แคมเปญนี้ไม่ได้มุ่งเป้าไปที่กลุ่มเป้าหมายแบบสุ่มสี่สุ่มห้า หลักฐานแสดงให้เห็นอย่างชัดเจนว่ามีการมุ่งเน้นไปที่โครงสร้างพื้นฐานที่เชื่อมโยงกับระบบนิเวศบล็อกเชน ซึ่งสะท้อนให้เห็นถึงแรงจูงใจทางการเงินและความอุดมสมบูรณ์ของสภาพแวดล้อมการพัฒนาที่ไม่ปลอดภัยในภาคส่วนนี้

เหตุใดแคมเปญนี้จึงได้รับความนิยมเพิ่มขึ้น

แนวโน้มสองประการที่กำลังมาบรรจบกันเป็นปัจจัยสำคัญที่ทำให้เกิดการเพิ่มขึ้นอย่างรวดเร็วในปัจจุบัน ประการแรก ผู้ดูแลระบบนำคู่มือการติดตั้งและตัวอย่างเซิร์ฟเวอร์ที่สร้างโดย AI มาใช้ซ้ำมากขึ้นเรื่อยๆ ซึ่งหลายๆ ตัวอย่างนั้นใช้ชื่อผู้ใช้และข้อมูลประจำตัวเริ่มต้นที่อ่อนแอเหมือนกับที่พบในบทช่วยสอนและเอกสารออนไลน์ทั่วไป ประการที่สอง แพลตฟอร์มเว็บแบบเก่า โดยเฉพาะอย่างยิ่งการติดตั้ง XAMPP ยังคงถูกใช้งานโดยมีบริการ FTP และอินเทอร์เฟซการดูแลระบบที่เปิดเผยและขาดการรักษาความปลอดภัยที่เพียงพอ

เงื่อนไขเหล่านี้รวมกันแล้วทำให้ผู้โจมตีมีช่องทางในการโจมตีที่คาดเดาได้และเอื้ออำนวยต่อการโจมตีเป็นอย่างมาก

จากจุดเริ่มต้นในปี 2023 สู่เวอร์ชันที่อันตรายยิ่งกว่าในปี 2025

GoBruteforcer หรือที่รู้จักกันในชื่อ GoBrut ถูกเปิดเผยครั้งแรกในเดือนมีนาคม 2023 การวิจัยเบื้องต้นอธิบายถึงตระกูลมัลแวร์ที่ใช้ภาษา Golang ซึ่งออกแบบมาสำหรับระบบปฏิบัติการแบบ Unix ทั้งสถาปัตยกรรม x86, x64 และ ARM โดยมันจะติดตั้งบอท IRC สำหรับควบคุมและสั่งการ ติดตั้งเว็บเชลล์สำหรับการเข้าถึงระยะไกลอย่างถาวร และเรียกใช้โมดูลโจมตีแบบ Brute-force เพื่อสแกนหาโฮสต์ที่มีช่องโหว่เพิ่มเติม

ภายในเดือนกันยายน ปี 2025 นักวิจัยค้นพบว่าบางส่วนของบอทเน็ตทำงานร่วมกับมัลแวร์สายพันธุ์อื่นที่ชื่อ SystemBC ซึ่งบ่งชี้ถึงโครงสร้างพื้นฐานที่ใช้ร่วมกันหรือการควบคุมที่ประสานงานกัน

ช่วงกลางปี 2025 ถือเป็นก้าวสำคัญทางเทคโนโลยี นักวิเคราะห์ได้ระบุถึงเวอร์ชันที่ล้ำหน้ากว่าเดิม ซึ่งมีลักษณะเด่นคือบอท IRC ที่เขียนใหม่ด้วยภาษา Golang และมีการเข้ารหัสที่ซับซ้อนยิ่งขึ้น กลไกการคงอยู่ของข้อมูลที่ดีขึ้น ความสามารถในการปกปิดกระบวนการทำงาน และรายการข้อมูลประจำตัวที่จัดการได้แบบไดนามิกซึ่งสามารถอัปเดตได้ตามต้องการ

กลยุทธ์การออกใบรับรองถูกกำหนดรูปแบบโดย AI และพฤติกรรมของนักพัฒนา

ส่วนประกอบการโจมตีแบบ Brute-force ของมัลแวร์อาศัยการผสมผสานชื่อผู้ใช้และรหัสผ่านทั่วไปที่คัดสรรมาอย่างดี เช่น 'myuser:Abcd@123' หรือ 'appeaser:admin123456' ซึ่งไม่ใช่การเลือกแบบสุ่ม หลายชุดมาจากคู่มือการใช้งานฐานข้อมูล เอกสารประกอบการให้บริการโฮสติ้ง และตัวอย่างจากผู้จำหน่าย ซึ่งเป็นวัสดุที่ถูกนำไปใช้ในชุดข้อมูลฝึกฝนโมเดลภาษาขนาดใหญ่เป็นจำนวนมาก ส่งผลให้เครื่องมือ AI มักสร้างค่าเริ่มต้นเดียวกันซ้ำๆ ในส่วนของโค้ดการตั้งค่าที่สร้างขึ้น ทำให้การใช้ข้อมูลประจำตัวที่อ่อนแอเป็นมาตรฐานเดียวกันโดยไม่ได้ตั้งใจ

ชื่อผู้ใช้เพิ่มเติมในการหมุนเวียนนั้นอ้างอิงถึงเวิร์กโฟลว์ด้านสกุลเงินดิจิทัล (เช่น 'cryptouser', 'appcrypto', 'crypto_app' และ 'crypto') หรือกำหนดเป้าหมายไปยังสภาพแวดล้อม phpMyAdmin โดยเฉพาะ รวมถึง 'root', 'wordpress' และ 'wpuser'

ผู้โจมตีจะรักษาชุดรหัสผ่านขนาดเล็กและคงที่สำหรับแต่ละแคมเปญ โดยจะอัปเดตรายการรหัสผ่านต่อภารกิจจากฐานข้อมูลดังกล่าว ในขณะที่หมุนเวียนชื่อผู้ใช้และรหัสผ่านเฉพาะกลุ่มเพิ่มเติมหลายครั้งต่อสัปดาห์ การโจมตี FTP จะได้รับการจัดการแตกต่างออกไป: ไบนารีของโปรแกรมเดารหัสผ่านแบบ Brute Force จะมีชุดข้อมูลประจำตัวที่กำหนดไว้ล่วงหน้า ซึ่งสอดคล้องกับชุดข้อมูลประจำตัวเริ่มต้นของเว็บโฮสติ้งและบัญชีบริการอย่างใกล้ชิด

ห่วงโซ่การติดเชื้อและความสามารถของบอทเน็ต

การโจมตีที่พบเห็นส่วนใหญ่มักเริ่มต้นด้วยบริการ FTP ที่เปิดเผยสู่สาธารณะทางอินเทอร์เน็ตบนเซิร์ฟเวอร์ XAMPP เมื่อเข้าถึงได้แล้ว ผู้โจมตีจะอัปโหลดเว็บเชลล์ PHP จากนั้นจะใช้เชลล์นั้นในการดึงและเรียกใช้บอท IRC เวอร์ชันอัปเดตผ่านสคริปต์เชลล์ที่ปรับแต่งให้เข้ากับสถาปัตยกรรมของโฮสต์

หลังจากถูกโจมตี ระบบที่ติดไวรัสสามารถนำไปใช้งานใหม่ได้หลายวิธี:

• โปรแกรมนี้ใช้โมดูลโจมตีแบบ Brute-force เพื่อพยายามล็อกอินเข้าสู่ระบบ FTP, MySQL, PostgreSQL และ phpMyAdmin ผ่านทางอินเทอร์เน็ต
• มันทำหน้าที่เป็นที่เก็บและกระจายมัลแวร์ไปยังเครื่องคอมพิวเตอร์ที่เพิ่งถูกเจาะระบบ
• มันทำหน้าที่เป็นจุดควบคุมและสั่งการแบบ IRC หรือทำหน้าที่เป็นเซิร์ฟเวอร์ C2 สำรองเพื่อเพิ่มความยืดหยุ่นของบอทเน็ต

หลักฐานโดยตรงของการดำเนินงานที่มุ่งเน้นเทคโนโลยีบล็อกเชน

จากการตรวจสอบเพิ่มเติมพบว่า เซิร์ฟเวอร์ที่ถูกโจมตีอย่างน้อยหนึ่งเครื่องได้ติดตั้งโมดูลพิเศษที่ออกแบบมาเพื่อวนลูปตรวจสอบรายชื่อที่อยู่บนบล็อกเชน TRON โดยใช้บริการสาธารณะ tronscanapi.com มัลแวร์จะสอบถามยอดเงินในบัญชีเพื่อระบุกระเป๋าเงินที่มีเงินอยู่ไม่ต่ำกว่าศูนย์ ความสามารถนี้บ่งชี้อย่างชัดเจนว่าเป็นการสอดแนมโดยเจตนาต่อโครงการบล็อกเชนและโครงสร้างพื้นฐานที่เกี่ยวข้องกับคริปโตเคอร์เรนซี มากกว่าการสแกนแบบฉวยโอกาสเพียงอย่างเดียว

บทเรียนสำคัญสำหรับผู้พิทักษ์

GoBruteforcer แสดงให้เห็นถึงความล้มเหลวทางด้านความปลอดภัยที่เกิดขึ้นอย่างต่อเนื่องในวงกว้าง นั่นคือ จุดตัดที่อันตรายระหว่างบริการที่เปิดเผยสู่สาธารณะ ข้อมูลประจำตัวที่อ่อนแอหรือถูกนำมาใช้ซ้ำ และเครื่องมือโจมตีอัตโนมัติที่เพิ่มมากขึ้น แม้ว่าบอทเน็ตนี้จะไม่ใช่สิ่งประดิษฐ์ที่ก้าวล้ำทางเทคนิค แต่ผู้ดำเนินการกลับได้รับประโยชน์อย่างมหาศาลจากปริมาณเซิร์ฟเวอร์ที่ตั้งค่าไม่ถูกต้องจำนวนมากที่ยังคงเข้าถึงได้บนอินเทอร์เน็ตสาธารณะ

สำหรับผู้ดูแลระบบ การรณรงค์ครั้งนี้ตอกย้ำข้อความที่คุ้นเคยแต่สำคัญยิ่ง นั่นคือ กำจัดข้อมูลประจำตัวเริ่มต้น จำกัดอินเทอร์เฟซการดูแลระบบ เลิกใช้ระบบเก่า และถือว่าตัวอย่างการปรับใช้ที่สร้างโดย AI เป็นจุดเริ่มต้นที่ไม่น่าเชื่อถือ แทนที่จะเป็นโครงสร้างที่พร้อมใช้งานจริง