GoBruteforcer殭屍網路攻擊

GoBruteforcer 攻擊活動再次抬頭，目標直指與加密貨幣和區塊鏈項目相關的資料庫。攻擊者利用漏洞的伺服器建立分散式殭屍網絡，對包括 FTP、MySQL、PostgreSQL 和 phpMyAdmin 在內的常用服務（運行於 Linux 系統）發動大規模暴力破解攻擊。

這場行動並非不分青紅皂白。證據表明，其目標明確指向與區塊鏈生態系統相關的基礎設施，這不僅反映了經濟動機，也反映了該領域大量安全防護薄弱的開發環境。

這場運動為何勢頭正勁

兩大趨勢共同推動了當前的安全漏洞激增。首先，管理員越來越重複使用人工智慧產生的部署指南和伺服器範例，其中許多都沿用了線上教學課程和文件中常見的弱預設使用者名稱和憑證。其次，傳統的 Web 技術堆疊，尤其是 XAMPP 安裝，仍在使用暴露的 FTP 服務和管理介面，而這些服務和管理介面缺乏足夠的安全加固。

這些條件共同為攻擊者提供了一個可預測且有利的攻擊面。

從 2023 年的起源到更危險的 2025 年變體

GoBruteforcer，又名 GoBrut，最初於 2023 年 3 月被發現。早期研究表明，這是一個基於 Golang 的惡意軟體家族，專為 x86、x64 和 ARM 架構的類 Unix 系統而設計。它部署了一個 IRC 機器人用於命令與控制，安裝了一個 Web Shell 以實現持久遠端訪問，並獲取了一個暴力破解模組來掃描其他易受攻擊的主機。

到 2025 年 9 月，研究人員發現該殭屍網路的部分內容與另一種惡意軟體 SystemBC 協同運作，這表明它們共享基礎設施或進行協調控制。

2025 年中期標誌著重大的技術飛躍。分析師發現了一個更高級的變種，其特點是用 Golang 重寫的、經過高度混淆處理的 IRC 機器人，增強了持久化機制，具備進程遮罩功能，以及可按需動態更新的憑證清單。

人工智慧和開發者習慣塑造了認證策略

該惡意軟體的暴力破解元件依賴於精心挑選的常用使用者名稱和密碼組合，例如「myuser:Abcd@123」或「appeaser:admin123456」。這些並非隨機選擇。許多組合源自資料庫教學、主機文件和供應商範例——這些資料已被廣泛納入大型語言模型訓練語料庫。因此，人工智慧工具經常在產生的配置片段中重複使用相同的預設值，無意中在不同部署環境中標準化了弱憑證。

輪調中的其他使用者名稱參考加密貨幣工作流程（例如「cryptouser」、「appcrypto」、「crypto_app」和「crypto」），或專門針對 phpMyAdmin 環境，包括「root」、「wordpress」和「wpuser」。

攻擊者為每次攻擊活動維護一個相對較小且穩定的密碼池，並根據該密碼池刷新每個任務的密碼列表，同時每週多次輪換使用者名稱和添加特殊用途的密碼。 FTP 攻擊的處理方式有所不同：暴力破解程式二進位檔案中包含一組硬編碼的憑證，該憑證與預設的 Web 託管堆疊和服務帳戶密切相關。

感染鍊和殭屍網路能力

觀察到的入侵事件通常始於XAMPP伺服器上暴露在網路上的FTP服務。一旦獲得存取權限，攻擊者就會上傳PHP Web shell。然後，該shell會透過針對主機架構客製化的shell腳本來取得並執行更新後的IRC機器人。

一旦系統遭到入侵，受感染的系統可以透過多種方式被重新利用：

• 它運行暴力破解模組，嘗試對互聯網上的 FTP、MySQL、PostgreSQL 和 phpMyAdmin 服務進行登入攻擊。
• 它會將惡意負載分發到新近被入侵的機器上。
• 它提供 IRC 風格的命令與控制端點，或作為備用 C2 伺服器，以提高殭屍網路的彈性。

區塊鏈相關營運的直接證據

進一步調查顯示，至少有一台被入侵的伺服器部署了一個專門的模組，用於遍歷TRON區塊鏈位址清單。該惡意軟體利用公開的tronscanapi.com服務查詢帳戶餘額，以識別持有非零資金的錢包。這種能力強烈表明，攻擊者並非僅僅進行機會性掃描，而是蓄意對區塊鏈項目和加密相關基礎設施進行偵察。

對防守者而言，這是一個需要不斷學習的教訓

GoBruteforcer 揭示了一個更廣泛、持續存在的安全漏洞：暴露的服務、薄弱或重複使用的憑證以及日益自動化的攻擊工具交織在一起，形成了危險的局面。雖然殭屍網路本身在技術上並無突破性創新，但其經營者卻從大量仍可存取於公共互聯網上的配置錯誤的伺服器中獲益匪淺。

對於防御者而言，此次行動強化了一個熟悉但至關重要的信息：消除默認憑據，限制管理接口，淘汰舊式堆棧，並將 AI 生成的部署示例視為不可信的起點，而不是可用於生產的配置。