Tấn công mạng botnet GoBruteforcer

Một làn sóng tấn công GoBruteforce mới đang nhắm mục tiêu vào các cơ sở dữ liệu liên quan đến tiền điện tử và các dự án blockchain. Kẻ tấn công đang chiếm quyền kiểm soát các máy chủ dễ bị tổn thương để tạo thành một mạng botnet phân tán có khả năng thực hiện các cuộc tấn công vét cạn mật khẩu quy mô lớn chống lại các dịch vụ phổ biến, bao gồm FTP, MySQL, PostgreSQL và phpMyAdmin trên hệ thống Linux.

Chiến dịch này không phải là bừa bãi. Bằng chứng cho thấy trọng tâm rõ ràng là cơ sở hạ tầng gắn liền với hệ sinh thái blockchain, phản ánh cả động cơ tài chính và sự phổ biến của các môi trường phát triển bảo mật kém trong lĩnh vực này.

Vì sao chiến dịch này đang thu hút được sự ủng hộ?

Hai xu hướng hội tụ đang thúc đẩy sự gia tăng hiện tại. Thứ nhất, các quản trị viên ngày càng tái sử dụng các hướng dẫn triển khai và ví dụ máy chủ do AI tạo ra, nhiều trong số đó sao chép cùng một tên người dùng và thông tin đăng nhập mặc định yếu kém được tìm thấy trong các hướng dẫn và tài liệu trực tuyến. Thứ hai, các hệ thống web cũ, đặc biệt là các cài đặt XAMPP, tiếp tục được triển khai với các dịch vụ FTP và giao diện quản trị không được bảo mật đầy đủ.

Nhìn chung, những điều kiện này tạo ra cho kẻ tấn công một bề mặt tấn công dễ dự đoán và màu mỡ.

Từ nguồn gốc năm 2023 đến biến thể nguy hiểm hơn năm 2025

GoBruteforcer, hay còn gọi là GoBrut, được ghi nhận lần đầu vào tháng 3 năm 2023. Nghiên cứu ban đầu mô tả một họ phần mềm độc hại dựa trên Golang được thiết kế cho các hệ thống giống Unix trên các kiến trúc x86, x64 và ARM. Nó triển khai một bot IRC để điều khiển từ xa, cài đặt một web shell để truy cập từ xa liên tục và tải xuống một mô-đun tấn công vét cạn để quét tìm các máy chủ dễ bị tổn thương khác.

Đến tháng 9 năm 2025, các nhà nghiên cứu phát hiện ra rằng một phần của mạng botnet đang hoạt động song song với một chủng phần mềm độc hại khác, SystemBC, cho thấy cơ sở hạ tầng được chia sẻ hoặc sự kiểm soát phối hợp.

Giữa năm 2025 đánh dấu một bước tiến vượt bậc về mặt kỹ thuật. Các nhà phân tích đã xác định một biến thể tiên tiến hơn, bao gồm một bot IRC được mã hóa phức tạp và viết lại bằng Golang, các cơ chế duy trì kết nối được nâng cao, khả năng che giấu tiến trình và danh sách thông tin xác thực được quản lý động có thể được cập nhật theo yêu cầu.

Chiến lược chứng chỉ được định hình bởi trí tuệ nhân tạo và thói quen của nhà phát triển.

Thành phần tấn công vét cạn của phần mềm độc hại dựa vào các tổ hợp được chọn lọc kỹ lưỡng của tên người dùng và mật khẩu phổ biến như 'myuser:Abcd@123' hoặc 'appeaser:admin123456'. Đây không phải là những lựa chọn ngẫu nhiên. Nhiều tổ hợp bắt nguồn từ các hướng dẫn về cơ sở dữ liệu, tài liệu lưu trữ và ví dụ của nhà cung cấp—những tài liệu đã được sử dụng rộng rãi trong các kho dữ liệu huấn luyện mô hình ngôn ngữ lớn. Do đó, các công cụ AI thường xuyên sao chép các thiết lập mặc định giống nhau trong các đoạn cấu hình được tạo ra, vô tình chuẩn hóa các thông tin đăng nhập yếu trên nhiều hệ thống triển khai.

Các tên người dùng bổ sung trong quá trình xoay vòng tham chiếu đến các quy trình làm việc của tiền điện tử (chẳng hạn như 'cryptouser,' 'appcrypto,' 'crypto_app,' và 'crypto') hoặc nhắm mục tiêu cụ thể vào các môi trường phpMyAdmin, bao gồm 'root,' 'wordpress,' và 'wpuser.'

Kẻ tấn công duy trì một nhóm mật khẩu tương đối nhỏ và ổn định cho mỗi chiến dịch, làm mới danh sách mật khẩu cho từng nhiệm vụ từ nhóm đó đồng thời xoay vòng tên người dùng và bổ sung các mật khẩu đặc thù nhiều lần mỗi tuần. Các cuộc tấn công FTP được xử lý khác: tệp nhị phân tấn công vét cạn chứa một bộ thông tin đăng nhập được mã hóa cứng, khớp chặt chẽ với các ngăn xếp và tài khoản dịch vụ lưu trữ web mặc định.

Chuỗi lây nhiễm và khả năng của mạng Botnet

Các vụ xâm nhập thường bắt đầu bằng một dịch vụ FTP được kết nối internet trên máy chủ XAMPP. Sau khi giành được quyền truy cập, kẻ tấn công tải lên một web shell PHP. Sau đó, chúng sử dụng web shell này để tải xuống và thực thi một bot IRC đã được cập nhật thông qua một tập lệnh shell được thiết kế riêng cho kiến trúc của máy chủ.

Sau khi bị xâm nhập, hệ thống bị nhiễm có thể được sử dụng lại theo nhiều cách khác nhau:

• Nó chạy các mô-đun tấn công vét cạn để cố gắng đăng nhập vào các dịch vụ FTP, MySQL, PostgreSQL và phpMyAdmin trên internet.
• Nó lưu trữ và phân phối các phần mềm độc hại đến các máy tính mới bị xâm nhập.
• Nó cung cấp các điểm cuối điều khiển và quản lý kiểu IRC hoặc hoạt động như một máy chủ C2 dự phòng để tăng cường khả năng chống chịu của mạng botnet.

Bằng chứng trực tiếp về các hoạt động tập trung vào Blockchain

Điều tra sâu hơn cho thấy ít nhất một máy chủ bị xâm nhập đang chạy một mô-đun chuyên dụng được thiết kế để lặp qua danh sách các địa chỉ blockchain TRON. Sử dụng dịch vụ công khai tronscanapi.com, phần mềm độc hại đã truy vấn số dư tài khoản để xác định các ví có số dư khác không. Khả năng này cho thấy rõ ràng đây là hoạt động do thám có chủ đích nhắm vào các dự án blockchain và cơ sở hạ tầng liên quan đến tiền điện tử, chứ không chỉ đơn thuần là quét ngẫu nhiên.

Một bài học dai dẳng dành cho những người bảo vệ

GoBruteforcer minh họa một thất bại bảo mật rộng lớn và đang diễn ra: sự giao thoa nguy hiểm giữa các dịch vụ bị phơi bày, thông tin đăng nhập yếu hoặc được tái sử dụng, và các công cụ tấn công ngày càng tự động hóa. Mặc dù bản thân mạng botnet này không phải là đột phá về mặt kỹ thuật, nhưng những kẻ điều hành nó lại thu được lợi ích khổng lồ từ số lượng lớn các máy chủ cấu hình sai vẫn có thể truy cập được trên internet công cộng.

Đối với những người bảo mật, chiến dịch này củng cố một thông điệp quen thuộc nhưng vô cùng quan trọng: loại bỏ thông tin đăng nhập mặc định, hạn chế giao diện quản trị, loại bỏ các hệ thống cũ và coi các ví dụ triển khai do AI tạo ra là điểm khởi đầu không đáng tin cậy chứ không phải là cấu hình sẵn sàng cho môi trường sản xuất.