GoBruteforcerとして知られるボットネットが、インターネットに露出したLinuxサーバーを積極的に標的にしており、FTP、MySQL、PostgreSQL、phpMyAdminなどの一般的なサービスに対する大規模なブルートフォース攻撃を実行しています。
水曜日に公開された新しい勧告で、Check Point Research(CPR)は、弱い認証情報と不適切に設定されたソフトウェアにより、5万台以上の公開アクセス可能なサーバーが脆弱である可能性があると推定しました。
GoBruteforcerは侵害されたマシンをスキャンと攻撃ノードに変えます。感染すると、これらのサーバーはランダムなIP範囲をプローブし、一般的なユーザー名とパスワードでのログインを試みるために使用されます。攻撃に成功すると、データ盗難、バックドアの作成、アクセスの再販売、またはボットネットのさらなる拡散につながる可能性があります。
このマルウェアは2023年に最初に公開されて記録されましたが、研究者たちは2025年中盤により高機能な亜種を観察し始めました。新しいバージョンはGoで完全に書かれており、より強力な難読化、より強力な永続性、および感染したホスト上の悪意のあるプロセスを偽装するために設計された技術を導入しています。
攻撃規模とターゲティング
現在のアクティビティの波は、2つの収束するトレンドによって推進されています:予測可能なユーザー名と弱いデフォルトに依存する標準デプロイメント例の大量再利用、およびXAMPPなどのレガシーWebスタックの継続的な使用です。これらはしばしば、最小限のセキュリティ強化でFTPサービスと管理パネルを露出させます。
Linuxサーバーセキュリティの詳細を読む:ルートアクセスエクスプロイトを可能にする重大なLinuxの欠陥が発見される
CPR研究者は、攻撃者がゼロデイエクスプロイトに依存していないことを指摘しました。代わりに、彼らはadmin、password、またはドキュメントとチュートリアルで何年も流布している一般的な運用ユーザー名のような単純な認証情報を繰り返しテストします。
何百万ものデータベースとFTPサーバーは、デフォルトポートで到達可能なままであり、広い攻撃面を作成しています。成功率が低い場合でも、露出したシステムの膨大な数により、ブルートフォース攻撃は経済的に魅力的になります。
GoBruteforcerキャンペーンは週に数回ローテーションし、焦点が異なります。一部の実行は一般的なユーザー名をランダムなIPアドレス全体にスプレーしますが、その他はより対象を絞ったものです。観察された攻撃には、ブロックチェーン関連のデータベースを対象とした暗号テーマのユーザー名、およびWordPressサイトで一般的に関連付けられているphpMyAdminパネルが含まれています。
金銭的動機と暗号活動
侵害されたあるサーバーで、アナリストはTRONの残高をスキャンし、TRONとBinance Smart Chainのトークンを取得するために設計されたGoベースのツールを回収しました。ボットネットコンポーネントと一緒に、約23,000のTRONアドレスを含むファイルも見つかりました。
攻撃者によって制御されたウォレットのオンチェーン分析は、これらの金銭的に動機付けられた攻撃の少なくとも一部が成功したことを示しました。ただし、ほとんどの影響を受けたアドレスは小さな残余残高のみを保有しているようです。
それでも、これらの発見は永続的なセキュリティ問題を浮き彫りにしています。露出したサービス、弱い認証情報、およびデフォルト構成は、攻撃者に信頼できるアクセスを提供し続けています。
「生成的AIがサーバーデプロイメントへの障壁をさらに低下させるにつれて、安全でないデフォルトのリスクが増加する可能性があります」とCPRが説明しました。
「この種の脅威に対処するには、検出と撤去の努力だけでなく、セキュアな構成慣行、認証情報衛生、および継続的な露出管理への新たな注意が必要です。」
翻訳元: https://www.infosecurity-magazine.com/news/gobruteforcer-botnet-linux-servers/
