資安公司指出,一種名為GoBruteforcer的惡意軟體botnet能夠攻陷Linux伺服器,並將其變成自動化破解密碼的節點。這套駭客程式已影響加密貨幣項目所使用的基礎架構,包括資料庫伺服器、檔案傳輸服務以及網頁管理面板。
GoBrut能在網路上掃描防護薄弱的服務,並以常見的用戶名稱和弱密碼嘗試登入。一旦系統被攻陷,便會被納入一個分散式網路,讓駭客集團能遠端存取。
GoBruteforcer botnet能破解設計不嚴謹的密碼
根據Check Point於上週三發布的報告,該botnet可突破FTP、MySQL、PostgreSQL及phpMyAdmin等服務的防護。這些程式被區塊鏈新創公司及去中心化應用開發者用來管理用戶資料、應用邏輯及內部儀表板。
被GoBrute攻陷的系統可接受來自指揮與控制伺服器的指令,指定攻擊哪個服務並提供暴力破解所需的憑證。所揭露的登入資訊會被重複利用以存取其他系統、竊取私密資料、創建隱藏帳號,並擴大botnet的影響範圍。
Check Point還指出,受感染的主機亦可被用於寄存惡意程式、向新受害者散播惡意軟體,或在核心系統停機時充當備用控制伺服器。
現在許多開發團隊,包括如Microsoft、Amazon等大型科技公司的團隊,會使用由大型語言模型(LLMs)產生的程式碼片段和設置指南,或從線上論壇複製。
Check Point解釋,由於AI模型無法創造新密碼,通常僅模仿其訓練內容,因此所產生的用戶名稱和預設密碼非常可預測,在系統暴露於網路前通常未能及時更換。
當使用如XAMPP等舊有網頁堆疊時問題更為嚴重,這類工具預設會暴露管理服務,為駭客提供輕鬆的入侵入口。
GoBruteforcer攻擊行動始於2023年,Unit 42研究指出
GoBruteforcer最早於2023年3月被Palo Alto Networks旗下的Unit 42記錄,詳細說明其能攻陷類Unix系統的x86、x64及ARM架構。該惡意軟體會部署網際網路中繼聊天(IRC)機器人及網頁shell,讓攻擊者維持遠端存取。
2025年9月,Lumen Technologies的Black Lotus Labs研究人員發現,一部分被感染的機器與另一惡意軟體家族SystemBC相關聯,同時也是GoBruteforcer節點。Check Point分析人員將攻擊中使用的密碼列表與約一千萬組外洩憑證資料庫比對,發現重疊率約為2.44%。
根據這一重疊,研究人員估計有數萬台資料庫伺服器可能接受botnet所用的密碼。Google 2024年Cloud Threat Horizons報告指出,雲端環境遭入侵的初始攻擊途徑中,有47.2%是因憑證弱或缺失所致。
區塊鏈及AI偵察行動暴露私密資料,研究發現
在追蹤到GoBrute於加密貨幣環境中的行動時,網路駭客會使用與加密貨幣主題相關的用戶名稱及密碼變體,這些名稱符合區塊鏈項目的命名慣例。其他攻擊則針對與WordPress網站連結的phpMyAdmin面板,這是項目網站及儀表板常用的服務。
「部分攻擊明顯針對特定領域。例如我們觀察到一次攻擊使用了如cryptouser、appcrypto、crypto_app及crypto等加密主題用戶名。在這些攻擊中,所用密碼結合了常見弱密碼與加密專屬組合,如cryptouser1或crypto_user1234,」Check Point舉例說明密碼內容。
Check Point發現有一台被攻陷的伺服器被用來寄存模組,該模組掃描TRON區塊鏈地址,並透過公開區塊鏈API查詢餘額,以識別持有資金的錢包。
「暴露的基礎設施、弱憑證與自動化工具的結合。雖然該botnet本身技術層面簡單,其操作者卻因網路上錯誤配置的服務數量而受益,」該資安公司表示。
如果你正在閱讀這篇文章,說明你已領先一步。訂閱我們的電子報,持續保持領先。
