進化したGoBruteforcerボットネットの亜種が、金銭目的のキャンペーンで暗号資産およびブロックチェーンプロジェクトを標的にしていると、Check Pointが報告している。
2023年に初めて詳細が明らかにされたGoBruteforcerはLinuxサーバーを標的にし、インターネットに露出したサービス(FTP、MySQL、phpMyAdmin、PostgreSQLなど)に焦点を当てたスキャンおよびパスワード総当たり(ブルートフォース)型のボットネットへと取り込む。
Check Pointによると、オンラインで漏えいした認証情報を使用している、ウェブからアクセス可能なパネルやデータベースが数万件存在し、GoBruteforcerによる侵害を受けやすいという。
Goで書かれたこのマルウェアは、感染システムをオペレーターが制御できるようにするIRCボットと、ランダムな公開IPレンジをスキャンし、一般的に使われる認証情報を用いて拡散を試みるブルートフォーサーで構成されている。
GoBruteforcerの拡散に寄与している要因として、Check Pointは、AIによって生成された新規デプロイにおける弱いユーザー名・パスワードの使用や、旧来のウェブサーバーソフトウェアスタックが残り続けていることを挙げている。
同社のテストでは、異なるLLMがサンプルのサーバーデプロイにおいて、似通った一般的なデフォルトユーザー名を使用する可能性があり、適切なサニタイズが行われないまま本番環境に持ち込まれる恐れがあることが示された。
「GoBruteforcerがAI支援のサーバーインストールを特に狙っているとは考えていないが、LLMの広範な利用はボットネットの攻撃成功率を高める可能性がある」とCheck Pointは指摘する。
ボットネットの成功におけるもう一つの重要な要因は、XAMPPのようなウェブスタックが継続して使用されていることであり、これらにはしばしばバックドアとして機能するデフォルト認証情報が含まれていると、同社は述べている。
ボットネットのコマンド&コントロール(C&C)サーバーは、標的とするウェブサービスに関する指示と、ブルートフォースに用いる認証情報のリストを送信する。このリストは週に数回ローテーションされる。
Check Pointは、XAMPPを実行するサーバー上でインターネットに露出したFTPサービスが、これらの攻撃における初期侵害の顕著な侵入経路になっていることを確認した。
感染チェーンは、感染システムをオペレーターが制御できるようにするウェブシェルのインストールへと続く。ウェブシェルは追加ペイロードの取得と実行に使用され、ホスト制御も提供するIRCボットも含まれる。
Check Pointはまた、GoBruteforcerが攻撃で暗号資産をテーマにしたユーザー名を使用していることを確認し、さらにTRONブロックチェーンのアドレスを特定の方法で反復処理して残高を照会し、関心のある潜在的標的を特定するモジュールも発見した。
ボットネットのオペレーターは、被害者から攻撃者が管理するウォレットへBinance Smart Chain(BSC)およびTRONのトークンを移転できるユーティリティも展開していた。Check Pointが回収した2つのブロックチェーンウォレットアドレスは、旧来のブロックチェーン製品に属していた可能性が高いという。
「GoBruteforcerは、露出したインフラ、弱い認証情報、そしてますます自動化されるツールの組み合わせという、より広範で根強い問題を象徴している。ボットネット自体は技術的には単純だが、オペレーターはオンラインに残り続ける膨大な数の誤設定サービスから利益を得ている」とCheck Pointは述べている。
翻訳元: https://www.securityweek.com/gobruteforcer-botnet-targeting-crypto-blockchain-projects/
