Goベースのボットネット「GoBruteforcer」が、FTP、MySQL、PostgreSQLなどの公開サービスで弱いパスワードをブルートフォースし、世界中のLinuxサーバーをスキャン・侵害しています。Check Point Researchは、2025年のバリアントを特定し、数万台のマシンを感染させ、50,000台以上のインターネット公開サーバーを危険にさらしています。この攻撃は、AI生成の一般的なデフォルト設定とレガシーセットアップを悪用しています。
2023年に初めて文書化されたGoBruteforcerボットネットは、Check Point Researchが詳述するように、2025年版で大幅に進化しました。このマルウェアは、ウェブシェル、ダウンローダー、IRCボット、ブルートフォーサーモジュールを含むモジュール式構造を使用してシステムに侵入します。FTP、MySQL、PostgreSQL、phpMyAdminなどのサービスに焦点を当て、インターネット公開のLinuxサーバー上の弱いまたはデフォルトの認証情報を狙います。 研究者らは、50,000台以上のサーバーが依然として脆弱で、数百万のインスタンスが公開されていると推定しています:約570万のFTPサーバー、223万のMySQLサーバー、56万のPostgreSQLサーバーがデフォルトポートで動作中です。ボットネットの成功は、「appuser」や「myuser」などのAI提案ユーザー名と、375〜600の一般的な弱いパスワードのデータベースの広範な使用によるものです。これらの認証情報リストは、1,000万の漏洩パスワードコレクションの2.44%と重複し、控えめな重複率にもかかわらず攻撃を可能にします。2024年のGoogle Cloud Threat Horizonsレポートでは、弱い認証情報がクラウド侵害の初期段階の47.2%を容易にしたと指摘され、この方法の有効性を強調しています。 更新されたIRCボットは、Goで記述されGarblerで難読化され、以前のCベース版を置き換えます。プロセス隠蔽技術を使用し、「init」に名前を変更し、引数を隠して検知を回避します。C&Cサーバーは200の認証情報をバッチ配布し、週に複数回プロファイルを回転します。感染マシンは低帯域(FTP運用中約64 kb/s送信)で秒間最大20 IPをスキャンし、64ビットシステムで95同時スレッドを実行します。 一部のキャンペーンは金銭的動機を示し、TRONウォレットをスキャンしBinance Smart Chainからトークンをスイープするツールを展開します。侵害された1台のサーバーで、約23,000のTRONアドレスを含むファイルが復元され、オンチェーンデータが成功した盗難を確認しています。ボットネットはプライベートネットワーク、クラウドプロバイダー、米国防総省範囲を避け検知リスクを最小化します。また、セクター向けに攻撃を調整し、クリプトテーマのユーザー名を使用したり、デフォルトFTP設定のXAMPPスタックを標的にします。 耐久性のために、ハードコードされたフォールバックC2アドレスを含み、感染ホストをリレーとして宣伝します。コンポーネントはMD5検証スクリプトで1日2回更新されます。これらの脅威に対抗するため、専門家は強力なパスワード、使用しないサービスの無効化、多要素認証、ログイン監視を推奨します。
