GoBruteforcer Botnet Saldırıları
GoBruteforcer saldırılarında yeni bir dalga yaşanıyor ve bu saldırılar aktif olarak kripto para birimleri ve blockchain projeleriyle ilişkili veritabanlarını hedef alıyor. Saldırganlar, savunmasız sunucuları dağıtılmış bir botnet'e entegre ederek, Linux sistemlerinde FTP, MySQL, PostgreSQL ve phpMyAdmin gibi yaygın hizmetlere karşı büyük ölçekli kaba kuvvet saldırıları gerçekleştirebiliyor.
Bu kampanya rastgele yapılmıyor. Kanıtlar, hem finansal motivasyonu hem de bu sektördeki yetersiz güvenlikli geliştirme ortamlarının bolluğunu yansıtan, blok zinciri ekosistemlerine bağlı altyapıya açık bir odaklanmayı gösteriyor.
İçindekiler
Bu kampanya neden ivme kazanıyor?
Mevcut artışı körükleyen iki yakınlaşan eğilim var. Birincisi, yöneticiler giderek daha fazla yapay zeka tarafından oluşturulan dağıtım kılavuzlarını ve sunucu örneklerini yeniden kullanıyor; bunların çoğu, çevrimiçi eğitimlerde ve belgelerde bulunan aynı zayıf varsayılan kullanıcı adlarını ve kimlik bilgilerini kopyalıyor. İkincisi, eski web yığınları, özellikle XAMPP kurulumları, yeterli güvenlik önlemlerinden yoksun açıkta kalan FTP hizmetleri ve yönetim arayüzleriyle dağıtılmaya devam ediyor.
Bu koşullar bir araya geldiğinde, saldırganlara öngörülebilir ve verimli bir saldırı yüzeyi sağlar.
2023 Kökenlerinden Daha Tehlikeli Bir 2025 Varyantına
GoBruteforcer, diğer adıyla GoBrut, ilk olarak Mart 2023'te belgelendi. İlk araştırmalar, x86, x64 ve ARM mimarilerindeki Unix benzeri sistemler için tasarlanmış Golang tabanlı bir kötü amaçlı yazılım ailesini tanımladı. Komuta ve kontrol için bir IRC botu dağıttı, kalıcı uzaktan erişim için bir web kabuğu kurdu ve ek savunmasız ana bilgisayarları taramak için bir kaba kuvvet modülü edindi.
Eylül 2025'e gelindiğinde, araştırmacılar botnet'in bazı bölümlerinin SystemBC adlı başka bir kötü amaçlı yazılım türüyle birlikte çalıştığını ortaya çıkardı; bu da ortak altyapı veya koordineli kontrol anlamına geliyordu.
2025 yılının ortaları önemli bir teknik sıçramaya işaret etti. Analistler, Golang dilinde yeniden yazılmış, yoğun şekilde gizlenmiş bir IRC botu, gelişmiş kalıcılık mekanizmaları, süreç maskeleme yetenekleri ve isteğe bağlı olarak güncellenebilen dinamik olarak yönetilen kimlik bilgisi listeleri içeren daha gelişmiş bir varyant tespit ettiler.
Yapay Zeka ve Geliştirici Alışkanlıkları Tarafından Şekillendirilen Kimlik Doğrulama Stratejisi
Kötü amaçlı yazılımın kaba kuvvet bileşeni, 'myuser:Abcd@123' veya 'appeaser:admin123456' gibi yaygın kullanıcı adları ve şifrelerin derlenmiş kombinasyonlarına dayanmaktadır. Bunlar rastgele seçimler değildir. Birçoğu veritabanı eğitimlerinden, barındırma belgelerinden ve satıcı örneklerinden kaynaklanmaktadır; bu materyaller geniş çapta büyük dil modeli eğitim veri kümelerine dahil edilmiştir. Sonuç olarak, yapay zeka araçları sıklıkla oluşturulan yapılandırma parçacıklarında aynı varsayılan değerleri yeniden üreterek, istemeden zayıf kimlik bilgilerini dağıtımlar arasında standartlaştırmaktadır.
Dönüşümlü olarak kullanılan kullanıcı adları arasında kripto para birimi iş akışlarına (örneğin 'cryptouser', 'appcrypto', 'crypto_app' ve 'crypto') atıfta bulunan veya özellikle 'root', 'wordpress' ve 'wpuser' gibi phpMyAdmin ortamlarını hedefleyen ek kullanıcı adları bulunmaktadır.
Saldırganlar, her kampanya için nispeten küçük ve istikrarlı bir parola havuzu tutar ve bu temelden görev başına listeleri yenilerken, kullanıcı adlarını ve niş eklemelerini haftada birkaç kez değiştirirler. FTP saldırıları farklı şekilde ele alınır: kaba kuvvet saldırısı yapan ikili dosya, varsayılan web barındırma yığınlarına ve hizmet hesaplarına yakından eşleşen, önceden tanımlanmış bir kimlik bilgisi kümesi içerir.
Enfeksiyon Zinciri ve Botnet Yetenekleri
Gözlemlenen saldırılar çoğunlukla XAMPP sunucusunda internete açık bir FTP servisiyle başlar. Erişim sağlandıktan sonra, saldırganlar bir PHP web kabuğu yüklerler. Bu kabuk daha sonra, sunucunun mimarisine göre uyarlanmış bir kabuk betiği aracılığıyla güncellenmiş bir IRC botunu indirmek ve çalıştırmak için kullanılır.
Bir sistem ele geçirildikten sonra, enfekte olmuş bir sistem çeşitli şekillerde yeniden kullanılabilir hale getirilebilir:
- İnternet üzerindeki FTP, MySQL, PostgreSQL ve phpMyAdmin servislerine karşı giriş denemeleri yapmak için kaba kuvvet saldırı modülleri çalıştırır.
- Yeni ele geçirilen makinelere zararlı yazılımlar barındırır ve dağıtır.
- Bu, IRC tarzı komuta ve kontrol uç noktaları sağlar veya botnet'lerin dayanıklılığını artırmak için yedek bir C2 sunucusu olarak işlev görür.
Blok Zinciri Odaklı Operasyonlara Dair Doğrudan Kanıtlar
Daha detaylı inceleme, ele geçirilen sunuculardan en az birinin, TRON blok zinciri adresleri listesini taramak üzere tasarlanmış özel bir modül çalıştırdığını ortaya çıkardı. Kötü amaçlı yazılım, halka açık tronscanapi.com hizmetini kullanarak, sıfır olmayan bakiyeye sahip cüzdanları belirlemek için hesap bakiyelerini sorguladı. Bu yetenek, yalnızca fırsatçı taramadan ziyade, blok zinciri projelerini ve kripto ile ilgili altyapıyı hedef alan kasıtlı bir keşif faaliyetini güçlü bir şekilde düşündürmektedir.
Savunmacılar İçin Kalıcı Bir Ders
GoBruteforcer, daha geniş kapsamlı ve süregelen bir güvenlik açığını örneklemektedir: açıkta kalan hizmetler, zayıf veya yeniden kullanılan kimlik bilgileri ve giderek otomatikleşen saldırı araçlarının tehlikeli kesişimi. Botnet'in kendisi teknik olarak çığır açıcı olmasa da, operatörleri halka açık internette hala erişilebilir olan yanlış yapılandırılmış sunucuların muazzam hacminden büyük ölçüde faydalanmaktadır.
Savunucular için bu kampanya, tanıdık ama kritik bir mesajı pekiştiriyor: varsayılan kimlik bilgilerini ortadan kaldırın, yönetim arayüzlerini kısıtlayın, eski sistemleri kullanımdan kaldırın ve yapay zeka tarafından oluşturulan dağıtım örneklerini üretime hazır yapılandırmalar yerine güvenilmez başlangıç noktaları olarak değerlendirin.
