Главная страница » Индикаторы компрометации
0
7 дней
Индикаторы компрометации

GoBruteforcer: ботнет атакует серверы через уязвимости, созданные ИИ и слабые пароли

botnet

Исследователи из Check Point Research (CPR) представили детальный анализ новой волны атак ботнета GoBruteforcer (также известного как GoBrut). Этот модульный ботнет, написанный на языке Go, специализируется на подборе паролей к таким службам, как FTP, MySQL, PostgreSQL и phpMyAdmin на серверах Linux. По оценкам экспертов, более 50 000 интернет-серверов могут быть уязвимы перед его атаками. Текущая активность злоумышленников обусловлена двумя ключевыми факторами: массовым повторным использованием примеров развертывания серверов, сгенерированных искусственным интеллектом, и сохранением устаревших веб-стеков с минимальной защитой.

Описание

Ботнет распространяется по цепочке, включающей веб-шелл, загрузчик, IRC-бота и модуль для подбора паролей. Скомпрометированные хосты превращаются в узлы для сканирования и перебора учетных данных, принимая команды от удаленных операторов. Успешно подобранные слабые пароли используются для кражи данных, создания учетных записей бэкдора, продажи доступа и расширения ботнета. По данным Shodan, в открытом доступе находятся миллионы серверов баз данных и передачи файлов, что формирует обширную поверхность для атак.

Особенностью текущей волны является использование в атаках распространенных операционных имен пользователей, таких как "appuser" и "myuser". Эти имена десятилетиями циркулируют в руководствах, документации и примерах кода. Крупные языковые модели (LLM, Large Language Models), обученные на этой же публичной документации, часто воспроизводят аналогичные конфигурационные образцы с популярными стандартными именами. Следовательно, слепое следование инструкциям, сгенерированным ИИ, несет риски безопасности, способствуя еще более широкому использованию стандартных конфигураций в production-среде.

Вторым драйвером атак остаются legacy-стеки веб-серверов, такие как XAMPP. Эти установки часто поставляются с предустановленным FTP-сервером и учетными данными по умолчанию, о которых администратор может не знать, что создает функциональный бэкдор. Исследователи отмечают как широкомасштабные атаки, так и целевые кампании. Например, наблюдались атаки с использованием тематических имен пользователей, связанных с криптовалютами, что указывает на интерес к плохо защищенным базам данных блокчейн-проектов.

Это предположение позже нашло подтверждение: на одном скомпрометированном хосте вместе с ботнет-модулями были обнаружены инструменты на Go для сканирования балансов в сети TRON и утилиты для "выметания" токенов (token-sweep utilities) в сетях TRON и Binance Smart Chain (BSC). Рядом с бинарным файлом лежал файл с примерно 23 000 адресов TRON. Анализ on-chain транзакций с использованием кошельков злоумышленников показал, что как минимум часть этих финансово мотивированных атак была успешной.

Технический анализ выявил эволюцию ботнета. Если ранее IRC-бот был написан на C, то в варианте 2025 года все компоненты, включая бота, переписаны на Go и обфусцированы с помощью инструмента Garbler. Ботнет демонстрирует повышенную устойчивость благодаря модульной архитектуре: скомпрометированные хосты могут выступать в роли сканирующего бота, хоста для распространения полезной нагрузки или даже резервного C2-сервера. Для маскировки присутствия вредоносное ПО изменяет имя процесса и перезаписывает командную строку, выдавая себя за легитимный системный процесс "init".

Модуль для подбора паролей атакует четыре типа служб, используя пул воркеров, размер которого зависит от архитектуры зараженного хоста. Для выбора целей генерируются случайные IP-адреса с фильтрацией непубличных и "чувствительных" диапазонов, включая сети Министерства обороны США. Интересно, что для FTP используется жестко заданный список из 22 пар учетных данных, характерных для установок по умолчанию, например XAMPP, причем первая всегда проверяемая пара - "trash:trashh", которая, вероятно, служит стоп-сигналом для машин под контролем самих злоумышленников.

Эксперты подчеркивают, что GoBruteforcer является наглядным примером того, как угрозы используют "низко висящие фрукты". Атаки на слабые пароли и случайные IP-адреса позволяют с относительно небольшими усилиями скомпрометировать большое количество интернет-серверов. Распространение ИИ-ассистентов для развертывания инфраструктуры, вероятно, лишь увеличит риски, связанные с небезопасными настройками по умолчанию. Противодействие таким угрозам требует не только усилий по обнаружению и ликвидации ботнетов, но и повышенного внимания к практикам безопасной конфигурации, гигиене учетных данных и постоянному управлению экспозицией в интернете.

Индикаторы компрометации

IPv4

  • 190.14.37.10
  • 93.113.25.114

Domains

  • fi.warmachine.su
  • my.magicpandas.fun
  • pandaspandas.pm
  • pool.breakfastidentity.ru
  • xyz.yuzgebhmwu.ru

SHA256

  • 4fbea12c44f56d5733494455a0426b25db9f8813992948c5fbb28f38c6367446
  • 64e02ffb89ae0083f4414ef8a72e6367bf813701b95e3d316e3dfbdb415562c4
  • 7423b6424b26c7a32ae2388bc23bef386c30e9a6acad2b63966188cb49c283ad
  • 8fd41cb9d73cb68da89b67e9c28228886b8a4a5858c12d5bb1bffb3c4addca7c
  • ab468da7e50e6e73b04b738f636da150d75007f140e468bf75bc95e8592468e5
  • b0c6fe570647fdedd72c920bb40621fdb0c55ed217955557ea7c27544186aeec
  • bd219811c81247ae0b6372662da28eab6135ece34716064facd501c45a3f4c0d
  • c7886535973fd9911f8979355eae5f5abef29a89039c179842385cc574dfa166
Комментарии: 0
Похожие записи
0
12.03.2024
Индикаторы компрометации

Magnet Goblin: новая угроза для корпоративных систем с быстрым использованием уязвимостей

security
Компания Check Point обнародовала данные о новом финансово мотивированном угрожающем субъекте под названием Magnet Goblin, который демонстрирует высокую скорость эксплуатации свежих уязвимостей в публичных сервисах.
0
09.09.2025
Безопасность

Hexstrike-AI: ИИ-платформа для автоматизации кибератак на нулевые уязвимости

information security
Появились первые свидетельства использования фреймворка Hexstrike-AI, который позволяет злоумышленникам автоматизировать поиск и эксплуатацию уязвимостей. Система использует искусственный интеллект для
0
28.10.2025
Индикаторы компрометации

Киберпреступники развернули масштабную сеть распространения вредоносного ПО через YouTube

information security
Исследователи Check Point Research обнаружили и проанализировали так называемую Ghost Network - скоординированную сеть злонамеренных аккаунтов, систематически использующих функциональность YouTube для продвижения вредоносного контента.
0
21.05.2025
Индикаторы компрометации

Вредоносная реклама Facebook* заманивает жертв на фальшивый сайт по созданию искусственного интеллекта

security
В 2025 году было обнаружено, что вредоносная реклама на Facebook* заманивает пользователей на фальшивый сайт, представляющий себя как платформу Kling AI для создания искусственного интеллекта.