Mga Pag-atake ng Botnet ng GoBruteforcer

Isang panibagong bugso ng aktibidad ng GoBruteforcer ang aktibong tumatama sa mga database na nauugnay sa mga proyekto ng cryptocurrency at blockchain. Pinagsasama-sama ng mga umaatake ang mga mahihinang server sa isang distributed botnet na may kakayahang magsagawa ng malawakang brute-force attacks laban sa mga karaniwang serbisyo, kabilang ang FTP, MySQL, PostgreSQL, at phpMyAdmin sa mga sistema ng Linux.

Ang kampanyang ito ay hindi basta-basta. Ipinapakita ng ebidensya ang malinaw na pagtutok sa imprastraktura na nakatali sa mga ecosystem ng blockchain, na sumasalamin sa parehong motibasyon sa pananalapi at sa kasaganaan ng mga kapaligirang hindi ligtas sa pag-unlad sa sektor na ito.

Bakit Sumisikat ang Kampanya na Ito

Dalawang nagtatagpong trend ang nagpapasigla sa kasalukuyang pagdagsa. Una, ang mga administrador ay lalong gumagamit muli ng mga gabay sa pag-deploy at mga halimbawa ng server na binuo ng AI, na marami sa mga ito ay ginagaya ang parehong mahinang default na username at credential na matatagpuan sa mga online na tutorial at dokumentasyon. Pangalawa, ang mga legacy web stack, lalo na ang mga instalasyon ng XAMPP, ay patuloy na nade-deploy gamit ang mga nakalantad na serbisyo ng FTP at mga administratibong interface na kulang sa sapat na pagpapatibay.

Magkasama, ang mga kundisyong ito ay nagbibigay sa mga umaatake ng isang mahuhulaan at masaganang lunas sa pag-atake.

Mula sa mga Pinagmulan ng 2023 hanggang sa isang Mas Mapanganib na Baryante ng 2025

Ang GoBruteforcer, na kilala rin bilang GoBrut, ay unang naidokumento noong Marso 2023. Inilarawan ng mga unang pananaliksik ang isang pamilya ng malware na nakabatay sa Golang na idinisenyo para sa mga sistemang tulad ng Unix sa mga arkitekturang x86, x64, at ARM. Nag-deploy ito ng IRC bot para sa command-and-control, nag-install ng web shell para sa persistent remote access, at kumuha ng brute-force module upang mag-scan para sa mga karagdagang vulnerable host.

Pagsapit ng Setyembre 2025, natuklasan ng mga mananaliksik na ang mga bahagi ng botnet ay tumatakbo kasabay ng isa pang strain ng malware, ang SystemBC, na nagpapahiwatig ng ibinahaging imprastraktura o koordinadong kontrol.

Ang kalagitnaan ng 2025 ay nagmarka ng isang mahalagang teknikal na pagsulong. Natukoy ng mga analyst ang isang mas advanced na variant na nagtatampok ng isang labis na nalilitong IRC bot na muling isinulat sa Golang, pinahusay na mga mekanismo ng persistence, mga kakayahan sa process-masking, at mga listahan ng kredensyal na pinamamahalaan nang pabago-bago na maaaring ma-update kung kinakailangan.

Istratehiya sa Kredensyal na Hinubog ng AI at mga Gawi ng Developer

Ang brute-force component ng malware ay umaasa sa mga napiling kombinasyon ng mga karaniwang username at password tulad ng 'myuser:Abcd@123' o 'appeaser:admin123456.' Hindi ito mga random na seleksyon. Marami ang nagmumula sa mga tutorial sa database, dokumentasyon ng hosting, at mga halimbawa ng vendor—mga materyales na malawakang na-inject sa malalaking language model training corpora. Bilang resulta, ang mga AI tool ay madalas na nagre-reproduce ng parehong mga default sa mga nabuong configuration snippet, na hindi sinasadyang nag-i-standardize ng mga mahihinang credential sa iba't ibang deployment.

Ang mga karagdagang username sa rotation ay tumutukoy sa mga daloy ng trabaho ng cryptocurrency (tulad ng 'cryptouser,' 'appcrypto,' 'crypto_app,' at 'crypto') o partikular na naka-target sa mga kapaligiran ng phpMyAdmin, kabilang ang 'root,' 'wordpress,' at 'wpuser.'

Nagpapanatili ang mga umaatake ng medyo maliit at matatag na password pool para sa bawat kampanya, nire-refresh ang mga listahan ng bawat gawain mula sa base na iyon habang pinapalitan ang mga username at niche addition nang maraming beses bawat linggo. Iba-iba ang pagtrato sa mga FTP attack: ang bruteforcer binary ay naglalaman ng hardcoded credential set na malapit na tumutugma sa mga default na web-hosting stack at service account.

Ang Kawing ng Impeksyon at mga Kakayahan ng Botnet

Ang mga naobserbahang panghihimasok ay kadalasang nagsisimula sa isang serbisyo ng FTP na nakalantad sa internet sa isang XAMPP server. Kapag nakuha na ang access, mag-a-upload ang mga attacker ng PHP web shell. Ang shell na iyon ay ginagamit upang kunin at isagawa ang isang na-update na IRC bot sa pamamagitan ng isang shell script na iniayon sa arkitektura ng host.

Pagkatapos ng kompromiso, ang isang nahawaang sistema ay maaaring magamit muli sa maraming paraan:

• Nagpapatakbo ito ng mga brute-force module upang subukang mag-login laban sa mga serbisyo ng FTP, MySQL, PostgreSQL, at phpMyAdmin sa buong internet.
• Nagho-host at namamahagi ito ng mga malisyosong payload sa mga bagong nakompromisong makina.
• Nagbibigay ito ng mga IRC-style na command-and-control endpoint o gumagana bilang fallback C2 server upang mapabuti ang botnet resilience.

Direktang Katibayan ng mga Operasyong Nakatuon sa Blockchain

Isiniwalat ng karagdagang imbestigasyon na hindi bababa sa isang nakompromisong server ang nagsasagawa ng isang espesyal na module na idinisenyo upang ulitin ang isang listahan ng mga TRON blockchain address. Gamit ang pampublikong serbisyo ng tronscanapi.com, sinuri ng malware ang mga balanse ng account upang matukoy ang mga wallet na may hawak na mga pondo na hindi zero. Ang kakayahang ito ay mariing nagmumungkahi ng sinasadyang pagmamanman na naglalayong sa mga proyekto ng blockchain at imprastraktura na may kaugnayan sa crypto sa halip na oportunistikong pag-scan lamang.

Isang Patuloy na Aral para sa mga Tagapagtanggol

Inilalarawan ng GoBruteforcer ang isang mas malawak at patuloy na pagkabigo sa seguridad: ang mapanganib na interseksyon ng mga nakalantad na serbisyo, mahina o niresiklong mga kredensyal, at lalong automated na mga kagamitan sa pag-atake. Bagama't ang botnet mismo ay hindi teknikal na makabago, ang mga operator nito ay lubos na nakikinabang mula sa napakaraming mga server na hindi na-configure na naa-access pa rin sa pampublikong internet.

Para sa mga tagapagtanggol, pinatitibay ng kampanyang ito ang isang pamilyar ngunit kritikal na mensahe: alisin ang mga default na kredensyal, paghigpitan ang mga administratibong interface, itigil ang mga legacy stack, at ituring ang mga halimbawa ng deployment na binuo ng AI bilang mga hindi mapagkakatiwalaang panimulang punto sa halip na mga configuration na handa na para sa produksyon.