GoBruteforcerボットネット・マルウェアによる新たな攻撃の波が、AI生成の例を用いて設定されたとみられる露出サーバー上で、暗号資産およびブロックチェーンプロジェクトのデータベースを標的にしている。
GoBrutforcerはGoBrutとしても知られている。これはGolangベースのボットネットで、通常は露出したFTP、MySQL、PostgreSQL、phpMyAdminの各サービスを狙う。
このマルウェアは、侵害されたLinuxサーバーを利用してランダムな公開IPをスキャンし、総当たりのログイン攻撃を実行することが多い。
脆弱な防御を食い物に
Check Pointの研究者は、GoBrut攻撃に脆弱である可能性のあるインターネット向けサーバーが5万台以上存在すると推定している。
同社によれば、初期侵害はXAMPPを実行しているサーバー上のFTPサーバー経由で達成されることが多い。というのも、管理者がセキュリティ設定を行わない限り、設定に弱いデフォルトパスワードが使われている場合が多いからだ。
「攻撃者が標準アカウント(一般的にはdaemonまたはnobody)と弱いデフォルトパスワードを用いてXAMPPのFTPにアクセスを得ると、典型的な次の手順はWebルートにWebシェルをアップロードすることだ」 Check Point
攻撃者は、設定不備のMySQLサーバーやphpMyAdminパネルなど、別の手段でWebシェルをアップロードする場合もある。感染チェーンは、ダウンローダー、IRCボットの取得、そしてブルートフォーサーモジュールへと続く。
マルウェアの活動は10〜400秒の遅延後に開始され、x86_64アーキテクチャ上で最大95本の総当たりスレッドを起動し、プライベートネットワーク、AWSクラウドのレンジ、米国政府ネットワークを除外しながら、ランダムな公開IPレンジをスキャンする。
各ワーカーは単一のランダムな公開IPv4アドレスを生成し、該当サービスのポートを調査し、提供された認証情報リストを順に試した後に終了する。一定の同時実行レベルを維持するため、新しいワーカーが継続的に生成される。
FTPモジュールは、バイナリに直接埋め込まれた22組のユーザー名・パスワードのハードコードされたリストに依存している。これらの認証情報は、XAMPPのようなWebホスティングスタックでのデフォルト、または一般的に展開されるアカウントと密接に対応している。
出典: Check Point
Check Pointによると、最近のキャンペーンでは、大規模言語モデル(LLM)が生成した一般的なサーバー設定スニペットの再利用によってGoBruteforcerの活動が助長されており、その結果、appuser、myuser、operatorといった弱く予測可能なデフォルトユーザー名が増殖しているという。
これらのユーザー名はAI生成のDockerおよびDevOps手順に頻繁に登場するため、研究者は、その設定が実環境のシステムに追加され、パスワードスプレー攻撃に対して脆弱になったと考えている。
ボットネットの最近のキャンペーンを後押しする2つ目の傾向は、デフォルト認証情報と開放されたFTPサービスを引き続き同梱しているXAMPPのような古いサーバースタックだ。これらの展開は脆弱なWebルートディレクトリを露出させ、攻撃者がWebシェルを設置できるようにする。
Check Pointのレポートは、侵害されたホストがTRONのウォレットスキャンツールに感染したキャンペーンを取り上げている。このツールはTRONおよびBinance Smart Chain(BSC)全体を横断してスイープを実行する。攻撃者は約23,000件のTRONアドレスを含むファイルを使用し、自動化ユーティリティでそれらを標的にして、残高がゼロではないウォレットを特定して資金を抜き取った。
GoBruteforcerに対抗する管理者は、AI生成のデプロイガイドの使用を避け、デフォルトではないユーザー名と強力で一意のパスワードを使用すべきだ。
また、FTP、phpMyAdmin、MySQL、PostgreSQLについて露出したサービスがないか確認し、XAMPPのような古いソフトウェアスタックは、より安全な代替手段に置き換えることが推奨される。
