Một botnet mã độc tên là GoBruteforcer có khả năng xâm nhập máy chủ Linux và biến chúng thành các nút tự động dò mật khẩu, theo công ty an ninh mạng này. Chương trình tấn công đã ảnh hưởng tới hạ tầng được sử dụng bởi các dự án crypto, bao gồm máy chủ cơ sở dữ liệu, dịch vụ chuyển tệp và bảng điều khiển quản trị web.
GoBrut có thể quét internet để tìm các dịch vụ bảo mật kém và cố gắng đăng nhập vào các dịch vụ này bằng tên người dùng phổ biến và mật khẩu yếu. Khi một hệ thống bị xâm nhập, nó sẽ được thêm vào một mạng lưới phân tán có thể được truy cập từ xa bởi một mạng lưới hacker.
Botnet GoBruteforcer có thể hack các mật khẩu đặt sơ sài
Theo báo cáo của Check Point được công bố vào thứ tư tuần trước, botnet này có thể vượt qua các biện pháp bảo vệ trong các dịch vụ như FTP, MySQL, PostgreSQL và phpMyAdmin. Các chương trình này được các startup blockchain và nhà phát triển ứng dụng phi tập trung sử dụng để quản lý dữ liệu người dùng, logic ứng dụng và bảng điều khiển nội bộ.
Các hệ thống bị GoBrute xâm nhập có thể nhận lệnh từ máy chủ điều khiển và kiểm soát, chỉ định dịch vụ nào cần tấn công đồng thời cung cấp thông tin xác thực cho các cuộc tấn công brute-force. Thông tin đăng nhập bị lộ sẽ được sử dụng lại để truy cập các hệ thống khác, đánh cắp dữ liệu riêng tư, tạo tài khoản ẩn và mở rộng phạm vi ảnh hưởng của botnet.
Check Point cũng đề cập rằng các máy chủ bị nhiễm có thể được sử dụng lại để lưu trữ các tải độc hại, phát tán mã độc cho các nạn nhân mới hoặc trở thành máy chủ điều khiển dự phòng nếu hệ thống chính gặp sự cố.
Nhiều nhóm phát triển hiện nay, bao gồm cả các công ty công nghệ lớn như Microsoft và Amazon, sử dụng các đoạn mã và hướng dẫn cài đặt được tạo bởi các mô hình ngôn ngữ lớn (LLMs) hoặc sao chép từ các diễn đàn trực tuyến.
Check Point giải thích rằng vì các mô hình AI không thể tạo ra mật khẩu mới và thường bắt chước những gì đã được dạy, chúng tạo ra tên người dùng và mật khẩu mặc định rất dễ đoán, không thay đổi đủ nhanh trước khi hệ thống được kết nối internet.
Vấn đề trở nên nghiêm trọng hơn khi các ngăn xếp web cũ như XAMPP được sử dụng, có thể mặc định lộ ra các dịch vụ quản trị và tạo điểm truy cập dễ dàng cho hacker.
Chiến dịch GoBruteforcer bắt đầu từ năm 2023, theo nghiên cứu của Unit 42
GoBruteforcer lần đầu tiên được ghi nhận vào tháng 3 năm 2023 bởi Unit 42 của Palo Alto Networks, đơn vị đã mô tả khả năng xâm nhập các hệ thống giống Unix với kiến trúc x86, x64 và ARM. Mã độc này triển khai một bot Internet Relay Chat và web shell để kẻ tấn công duy trì quyền truy cập từ xa.
Vào tháng 9 năm 2025, các nhà nghiên cứu tại Black Lotus Labs của Lumen Technologies phát hiện một phần máy bị nhiễm liên kết với một họ mã độc khác, SystemBC, cũng là các nút GoBruteforcer. Các chuyên gia của Check Point đã so sánh danh sách mật khẩu được sử dụng trong các cuộc tấn công với cơ sở dữ liệu khoảng 10 triệu thông tin xác thực bị rò rỉ và phát hiện có khoảng 2,44% trùng khớp.
Dựa trên sự trùng lặp này, họ ước tính rằng hàng chục nghìn máy chủ cơ sở dữ liệu có thể chấp nhận một trong các mật khẩu mà botnet sử dụng. Báo cáo Cloud Threat Horizons 2024 của Google phát hiện rằng thông tin xác thực yếu hoặc bị thiếu là nguyên nhân cho 47,2% các kịch bản truy cập ban đầu vào môi trường đám mây bị xâm nhập.
Nghiên cứu cho thấy hoạt động do thám blockchain và AI làm lộ dữ liệu cá nhân
Trong các trường hợp lần theo dấu vết GoBrute trong môi trường tiền mã hóa, các hacker mạng đã sử dụng tên người dùng và biến thể mật khẩu theo chủ đề crypto phù hợp với quy ước đặt tên của các dự án blockchain. Các chiến dịch khác nhắm vào các bảng điều khiển phpMyAdmin liên kết với các trang WordPress, một dịch vụ cho các trang web dự án và bảng điều khiển.
“Một số tác vụ rõ ràng tập trung vào ngành. Ví dụ, chúng tôi quan sát thấy một cuộc tấn công sử dụng các tên người dùng theo chủ đề crypto như cryptouser, appcrypto, crypto_app và crypto. Trong các lần thử này, mật khẩu được sử dụng kết hợp danh sách yếu chuẩn với các dự đoán cụ thể như cryptouser1 hoặc crypto_user1234,” Check Point cho biết, đồng thời đưa ra các ví dụ về mật khẩu.
Check Point xác định một máy chủ bị xâm nhập được sử dụng để lưu trữ một module quét địa chỉ blockchain TRON và truy vấn số dư thông qua API blockchain công khai để xác định các ví đang giữ tiền.
“Sự kết hợp của hạ tầng bị lộ, thông tin xác thực yếu và các công cụ ngày càng tự động hóa. Dù botnet này về mặt kỹ thuật khá đơn giản, nhưng những người điều hành lại hưởng lợi từ số lượng dịch vụ cấu hình sai trên internet,” công ty bảo mật viết.
Nếu bạn đang đọc bài này, bạn đã đi trước một bước. Hãy giữ vững lợi thế đó cùng bản tin của chúng tôi.
