Атаки ботнету GoBruteforcer
Нова хвиля активності GoBruteforcer активно атакує бази даних, пов'язані з криптовалютними та блокчейн-проектами. Зловмисники інтегрують вразливі сервери в розподілену ботнет-мережу, здатну виконувати масштабні атаки методом перебору проти поширених сервісів, включаючи FTP, MySQL, PostgreSQL та phpMyAdmin у системах Linux.
Ця кампанія не є безладною. Дані свідчать про чітку спрямованість на інфраструктуру, пов'язану з екосистемами блокчейну, що відображає як фінансову мотивацію, так і велику кількість погано захищених середовищ розробки в цьому секторі.
Зміст
Чому ця кампанія набирає обертів
Дві збіжні тенденції підживлюють поточний сплеск. По-перше, адміністратори все частіше повторно використовують посібники з розгортання та приклади серверів, створені штучним інтелектом, багато з яких повторюють ті ж слабкі імена користувачів та облікові дані за замовчуванням, що й онлайн-посібники та документація. По-друге, застарілі веб-стеки, зокрема інсталяції XAMPP, продовжують розгортатися з відкритими FTP-сервісами та адміністративними інтерфейсами, яким бракує належного захисту.
Разом ці умови забезпечують атакуючим передбачувану та плідну поверхню для атаки.
Від витоків 2023 року до небезпечнішого варіанту 2025 року
GoBruteforcer, також відомий як GoBrut, був вперше задокументований у березні 2023 року. Ранні дослідження описували сімейство шкідливих програм на базі Golang, розроблене для Unix-подібних систем на архітектурах x86, x64 та ARM. Воно розгортало IRC-бота для командного управління, встановлювало веб-оболонку для постійного віддаленого доступу та отримувало модуль грубої сили для сканування додаткових вразливих хостів.
До вересня 2025 року дослідники виявили, що частини ботнету працювали разом з іншим штамом шкідливого програмного забезпечення, SystemBC, що свідчить про спільну інфраструктуру або скоординований контроль.
Середина 2025 року ознаменувала собою значний технічний стрибок. Аналітики виявили більш просунутий варіант із сильно завуальованим IRC-ботом, переписаним мовою Golang, покращеними механізмами збереження, можливостями маскування процесів та динамічно керованими списками облікових даних, які можна оновлювати на вимогу.
Стратегія реєстраційних даних, сформована штучним інтелектом та звичками розробників
Компонент грубої сили шкідливого програмного забезпечення спирається на кураторські комбінації поширених імен користувачів та паролів, таких як «myuser:Abcd@123» або «appeaser:admin123456». Це не випадковий вибір. Багато з них походять з навчальних посібників з баз даних, документації хостингу та прикладів постачальників — матеріалів, які були широко використані у великих корпусах навчання мовних моделей. Як результат, інструменти штучного інтелекту часто відтворюють ті самі значення за замовчуванням у згенерованих фрагментах конфігурації, ненавмисно стандартизуючи слабкі облікові дані в різних розгортаннях.
Додаткові імена користувачів у ротації посилаються на робочі процеси криптовалюти (такі як «cryptouser», «appcrypto», «crypto_app» та «crypto») або спеціально орієнтовані на середовища phpMyAdmin, включаючи «root», «wordpress» та «wpuser».
Зловмисники підтримують відносно невеликий, стабільний пул паролів для кожної кампанії, оновлюючи списки для кожного завдання з цієї бази, одночасно змінюючи імена користувачів та додаючи нішеві паролі кілька разів на тиждень. FTP-атаки обробляються по-різному: бінарний файл bruteforcer містить жорстко закодований набір облікових даних, який точно відповідає стандартним стекам веб-хостингу та обліковим записам служб.
Ланцюг зараження та можливості ботнету
Спостережувані вторгнення найчастіше починаються з FTP-сервісу, підключеного до Інтернету, на сервері XAMPP. Після отримання доступу зловмисники завантажують веб-оболонку PHP. Ця оболонка потім використовується для отримання та виконання оновленого IRC-бота за допомогою скрипта оболонки, адаптованого до архітектури хоста.
Після компрометації заражену систему можна перепрофілювати кількома способами:
- Він запускає модулі грубої сили для спроб входу в сервіси FTP, MySQL, PostgreSQL та phpMyAdmin через Інтернет.
- Він розміщує та розповсюджує шкідливі корисні навантаження на щойно скомпрометовані машини.
- Він надає кінцеві точки командування та контролю в стилі IRC або функціонує як резервний сервер C2 для підвищення стійкості ботнету.
Прямі докази операцій, орієнтованих на блокчейн
Подальше розслідування показало, що принаймні один скомпрометований сервер розміщував спеціалізований модуль, призначений для ітерації по списку адрес блокчейну TRON. Використовуючи публічний сервіс tronscanapi.com, шкідливе програмне забезпечення запитувало баланси рахунків, щоб ідентифікувати гаманці, що містять ненульові кошти. Ця можливість переконливо свідчить про цілеспрямовану розвідку, спрямовану на блокчейн-проекти та інфраструктуру, пов'язану з криптовалютою, а не лише про опортуністичне сканування.
Постійний урок для захисників
GoBruteforcer ілюструє ширший, постійний провал у сфері безпеки: небезпечне поєднання викритих сервісів, слабких або перероблених облікових даних та дедалі автоматизованіших інструментів атак. Хоча сам ботнет не є технічно новаторським, його оператори отримують величезну вигоду від величезної кількості неправильно налаштованих серверів, які все ще доступні в загальнодоступному Інтернеті.
Для захисників ця кампанія підкреслює знайоме, але важливе послання: скасуйте облікові дані за замовчуванням, обмежте адміністративні інтерфейси, виведіть з експлуатації застарілі стеки та розглядайте приклади розгортання, створені штучним інтелектом, як ненадійні відправні точки, а не як конфігурації, готові до використання.
