شبكة بوتنت GoBruteforcer تستهدف خوادم لينكس عالميًا

شبكة بوتنت مبنية على Go تُعرف باسم GoBruteforcer تقوم بفحص واختراق خوادم لينكس عالميًا من خلال هجمات القوة الغاشمة على كلمات مرور ضعيفة في الخدمات المكشوفة مثل FTP وMySQL وPostgreSQL. اكتشفت Check Point Research متغيرًا لعام 2025 أصاب عشرات الآلاف من الآلات، مما يعرض أكثر من 50,000 خادم متصل بالإنترنت للخطر. تستغل الهجمات الإعدادات الافتراضية الشائعة من تكوينات مولدة بالذكاء الاصطناعي وإعدادات قديمة.

شبكة بوتنت GoBruteforcer، التي وثقت لأول مرة في 2023، تطورت بشكل كبير في نسختها لعام 2025، كما تفصّل Check Point Research. يستخدم هذا البرمجيات الضارة هيكلًا معياريًا يشمل web shells وdownloaders وبوتات IRC ووحدات bruteforcer للتسلل إلى الأنظمة. يركز على خدمات مثل FTP وMySQL وPostgreSQL وphpMyAdmin، مستهدفًا بيانات الاعتماد الضعيفة أو الافتراضية على خوادم لينكس المكشوفة للإنترنت. يقدر الباحثون أن أكثر من 50,000 خادم لا يزال عرضة للخطر، مع ملايين الحالات المكشوفة: حوالي 5.7 مليون خادم FTP، و2.23 مليون خادم MySQL، و560,000 خادم PostgreSQL يعمل على المنافذ الافتراضية. يعود نجاح البوتنت إلى الاستخدام الواسع لأسماء مستخدمين مقترحة بالذكاء الاصطناعي مثل «appuser» و«myuser»، إلى جانب قاعدة بيانات تحتوي على 375 إلى 600 كلمة مرور ضعيفة شائعة. تتداخل هذه قوائم البيانات الاعتمادية مع 2.44% من مجموعة من 10 ملايين كلمة مرور مسربة، مما يجعل الهجمات ممكنة رغم معدل التداخل المتواضع. أشار تقرير Google Cloud Threat Horizons لعام 2024 إلى أن البيانات الاعتمادية الضعيفة سهّلت 47.2% من الاختراقات الأولية في السحابة، مما يؤكد فعالية الطريقة. يحل البوت IRC المحدث، المكتوب الآن بلغة Go ومشفر بـGarbler، محل النسخة السابقة المبنية على C. يستخدم تقنيات إخفاء العمليات، مع إعادة تسميته إلى «init» وإخفاء الوسائط للتهرب من الكشف. توزع خوادم القيادة والسيطرة دفعات من 200 بيان اعتماد، مع تدوير الملفات الشخصية عدة مرات أسبوعيًا. تقوم الآلات المصابة بفحص ما يصل إلى 20 عنوان IP في الثانية مع عرض نطاق منخفض —حوالي 64 كيلوبت/ث outbound أثناء عمليات FTP— وتشغل 95 خيطًا متزامنًا على أنظمة 64 بت. تظهر بعض الحملات دوافع مالية، مع نشر أدوات لفحص محافظ TRON وسحب الرموز من Binance Smart Chain. في خادم مصاب واحد، استعاد المحللون ملفًا يحتوي على حوالي 23,000 عنوان TRON، مع بيانات on-chain تؤكد السرقات الناجحة. تتجنب البوتنت الشبكات الخاصة ومقدمي السحابة ونطاقات وزارة الدفاع الأمريكية لتقليل مخاطر الكشف. كما تُخصص الهجمات حسب القطاعات، مستخدمة أسماء مستخدمين ذات طابع عملات مشفرة أو استهداف أكوام XAMPP بإعدادات FTP افتراضية. لتعزيز المرونة، تشمل عناوين C2 احتياطية مشفرة مسبقًا وتروج الخوادم المصابة كمرحلات. تُحدث المكونات مرتين يوميًا عبر نصوص تم التحقق منها بـMD5. لمواجهة هذه التهديدات، يوصي الخبراء بكلمات مرور قوية وتعطيل الخدمات غير المستخدمة والمصادقة متعددة العوامل ومراقبة تسجيل الدخول بعناية.

مقالات ذات صلة

Illustration depicting the Linux CopyFail vulnerability enabling root access exploits alongside Ubuntu's DDoS-induced outage.
صورة مولدة بواسطة الذكاء الاصطناعي

Linux CopyFail exploit threatens root access amid Ubuntu outage

من إعداد الذكاء الاصطناعي صورة مولدة بواسطة الذكاء الاصطناعي

A critical Linux vulnerability known as CopyFail, tracked as CVE-2026-31431, allows attackers to gain root access on systems running kernels since 2017. Publicly released exploit code has heightened risks for data centers and personal devices. Ubuntu's infrastructure has been offline for over a day due to a DDoS attack, hampering security communications.

Researchers have uncovered a large-scale compromise of Fortinet firewalls that exposed plaintext credentials for nearly 74,000 devices across 194 countries. The breach affects organizations including Oracle, Chevron, Lenovo, FedEx, and Fortinet itself, along with a NATO defense contractor.

من إعداد الذكاء الاصطناعي

Seventy-three Microsoft open source packages were compromised late last week with malware that steals credentials from cloud services and developer tools. The malicious code activates when opened in AI coding agents.

يستخدم هذا الموقع ملفات تعريف الارتباط

نستخدم ملفات تعريف الارتباط للتحليلات لتحسين موقعنا. اقرأ سياسة الخصوصية الخاصة بنا سياسة الخصوصية لمزيد من المعلومات.
رفض