GoBruteforcer僵尸网络攻击

GoBruteforcer 攻击活动再次抬头，目标直指与加密货币和区块链项目相关的数据库。攻击者利用存在漏洞的服务器构建分布式僵尸网络，对包括 FTP、MySQL、PostgreSQL 和 phpMyAdmin 在内的常用服务（运行于 Linux 系统）发起大规模暴力破解攻击。

这场行动并非不分青红皂白。证据表明，其目标明确指向与区块链生态系统相关的基础设施，这既反映了经济动机，也反映了该领域大量安全防护薄弱的开发环境。

这场运动为何势头正劲

两大趋势共同推动了当前的安全漏洞激增。首先，管理员越来越多地重复使用人工智能生成的部署指南和服务器示例，其中许多都沿用了在线教程和文档中常见的弱默认用户名和凭据。其次，传统的 Web 技术栈，尤其是 XAMPP 安装，仍然在使用暴露的 FTP 服务和管理界面，而这些服务和管理界面缺乏足够的安全加固。

这些条件共同为攻击者提供了一个可预测且有利的攻击面。

从 2023 年的起源到更加危险的 2025 年变体

GoBruteforcer，又名 GoBrut，最初于 2023 年 3 月被发现。早期研究表明，这是一个基于 Golang 的恶意软件家族，专为 x86、x64 和 ARM 架构的类 Unix 系统而设计。它部署了一个 IRC 机器人用于命令与控制，安装了一个 Web Shell 以实现持久远程访问，并获取了一个暴力破解模块来扫描其他易受攻击的主机。

到 2025 年 9 月，研究人员发现该僵尸网络的部分内容与另一种恶意软件 SystemBC 协同运作，这表明它们共享基础设施或进行协调控制。

2025 年中期标志着一次重大的技术飞跃。分析师发现了一个更高级的变种，其特点是用 Golang 重写的、经过高度混淆处理的 IRC 机器人，增强了持久化机制，具备进程掩码功能，以及可按需动态更新的凭证列表。

人工智能和开发者习惯塑造了认证策略

该恶意软件的暴力破解组件依赖于精心挑选的常用用户名和密码组合，例如“myuser:Abcd@123”或“appeaser:admin123456”。这些并非随机选择。许多组合源自数据库教程、主机文档和供应商示例——这些资料已被广泛纳入大型语言模型训练语料库。因此，人工智能工具经常在生成的配置片段中重复使用相同的默认值，无意中在不同部署环境中标准化了弱凭据。

轮换中的其他用户名参考加密货币工作流程（例如“cryptouser”、“appcrypto”、“crypto_app”和“crypto”），或者专门针对 phpMyAdmin 环境，包括“root”、“wordpress”和“wpuser”。

攻击者为每次攻击活动维护一个相对较小且稳定的密码池，并根据该密码池刷新每个任务的密码列表，同时每周多次轮换用户名和添加特殊用途的密码。FTP 攻击的处理方式有所不同：暴力破解程序二进制文件中包含一组硬编码的凭据，该凭据与默认的 Web 托管堆栈和服务帐户密切相关。

感染链和僵尸网络能力

观察到的入侵事件通常始于XAMPP服务器上暴露在互联网上的FTP服务。一旦获得访问权限，攻击者就会上传一个PHP Web shell。然后，该shell会通过针对主机架构定制的shell脚本来获取并执行更新后的IRC机器人。

一旦系统遭到入侵，受感染的系统可以通过多种方式被重新利用：

• 它运行暴力破解模块，尝试对互联网上的 FTP、MySQL、PostgreSQL 和 phpMyAdmin 服务进行登录攻击。
• 它会将恶意载荷分发到新近被入侵的机器上。
• 它提供 IRC 风格的命令与控制端点，或作为备用 C2 服务器，以提高僵尸网络的弹性。

区块链相关运营的直接证据

进一步调查显示，至少有一台被入侵的服务器部署了一个专门的模块，用于遍历TRON区块链地址列表。该恶意软件利用公开的tronscanapi.com服务查询账户余额，以识别持有非零资金的钱包。这种能力强烈表明，攻击者并非仅仅进行机会性扫描，而是蓄意对区块链项目和加密相关基础设施进行侦察。

对防守者而言，这是一个需要不断吸取的教训

GoBruteforcer 揭示了一个更广泛、持续存在的安全漏洞：暴露的服务、薄弱或重复使用的凭证以及日益自动化的攻击工具交织在一起，形成了危险的局面。虽然僵尸网络本身在技术上并无突破性创新，但其运营者却从大量仍可访问于公共互联网上的配置错误的服务器中获益匪浅。

对于防御者而言，此次行动强化了一个熟悉但至关重要的信息：消除默认凭据，限制管理接口，淘汰旧式堆栈，并将 AI 生成的部署示例视为不可信的起点，而不是可用于生产的配置。