セキュリティ研究者は、GoBruteforcerボットネットによって組織化された攻撃が新たに増加しつつあることを記録しており、特に暗号資産およびブロックチェーン企業のインフラを標的にしている。このキャンペーンの主な被害対象は、インターネットに露出したデータベースや管理インターフェースで、その多くが人工知能によって生成された定型テンプレートを用いて設定されたように見える。
GoBruteforcer(またはGoBrut)は、FTP、MySQL、PostgreSQL、phpMyAdminなど、公開されているサービスに対してクレデンシャル・スタッフィング攻撃を実行するために綿密に設計されたGo製ボットネットである。侵害されたLinuxサーバーのネットワークを活用し、マルウェアは任意のIPレンジをスキャンして、総当たり侵入により悪意ある活動範囲を拡大する。
Check Pointによる評価では、現在5万台を超えるサーバーがこれらの手口に対して脆弱な状態にあるという。多くの場合、侵入の起点はXAMPPインストールに同梱されたFTPサービスであり、管理者が厳格なセキュリティ強化を実施しないと、デフォルト設定や単純な認証情報がそのまま残りがちである。
daemonやnobodyといった汎用アカウントでFTPサービスへのアクセスを確保すると、攻撃者は通常、サイトのディレクトリにWebシェルを配置する。同様の結果は、設定不備のMySQLサーバーや脆弱なphpMyAdminコンソールを通じても達成されることが多い。足場を確立すると、感染チェーンはローダー、IRCボット、そして最終的に総当たりモジュール本体の展開へと至る。
侵入のアクティブフェーズは、意図的に10〜400秒の遅延を置いた後に開始される。x86_64アーキテクチャでは、マルウェアは最大95本の並列スレッドを起動し、プライベートネットワーク、AWSクラウド基盤、政府系デジタル資産を厳密に回避しながら、公開IPv4レンジをスキャンする。各スレッドは、ハードコードされた22組の認証情報ペアのレジストリを用いて、標的サービスへの認証を体系的に試行する—これらの組み合わせは、XAMPPのようなホスティング環境で一般的なデフォルトアカウントと完全に一致する。
Check Pointの報告で注目すべき点は、最新のGoBruteforcerキャンペーンが、大規模言語モデル(LLM)によって作成された設定テンプレートの広範な採用によって助長されていることである。こうしたAI生成の例には、appuser、myuser、operatorといった予測可能なユーザー名がしばしば含まれる。これらのプレースホルダーが本番のDockerやDevOps環境に入り込むと、自動化された総当たり攻撃にとって格好の近道となる。
さらに、オープンなFTPポートと標準の認証情報を同梱し続けるXAMPPのようなレガシーなサーバーバンドルは、依然として重大な負債である。こうしたインストールは攻撃者にWebルートへの直接アクセスを与え、悪意あるペイロードを妨げられることなくホスティングできるようにする。
分析されたある事例では、侵害されたサーバーがデジタル資産の自動流出(エクスフィルトレーション)のために転用されていた。研究者は、TRONおよびBinance Smart Chainネットワーク上のウォレットをスキャンするためのツールを発見した。約23,000件のTRONアドレスのデータベースを利用し、攻撃者は自動スクリプトで残高がゼロではないウォレットを特定し、その後資金を引き出していた。
システム管理者は、AI生成のデプロイ手順を盲目的に複製することから脱却するよう求められる。標準的でないユーザー名と、複雑で一意のパスフレーズを使用することが不可欠である。さらに組織は、FTP、phpMyAdmin、データベースサービスのインターネット上での可視性を監査し、XAMPPのような旧式スタックを、現代的でセキュリティ重視の代替手段に置き換えることも検討すべきである。
