GoBrutforcer, còn được biết đến với tên gọi GoBrut, là một mạng botnet dựa trên ngôn ngữ Golang, thường nhắm mục tiêu vào các dịch vụ FTP, MySQL, PostgreSQL và phpMyAdmin tồn tại các điểm yếu và lỗ hổng.
Phần mềm độc hại này chủ yếu dựa vào các máy chủ Linux bị xâm nhập để rà quét các địa chỉ IP công cộng ngẫu nhiên và thực hiện các cuộc tấn công Brute Force. Các nhà nghiên cứu Check Point ước tính rằng có hơn 50.000 máy chủ kết nối Internet có thể dễ bị tấn công bằng mã độc GoBrut.
Hãng bảo mật này nhận định rằng việc xâm nhập ban đầu thường đạt được thông qua các máy chủ FTP trên các máy chủ chạy XAMPP, vì cấu hình thường có mật khẩu mặc định yếu, trừ khi quản trị viên kiểm tra cấu hình bảo mật.
“Khi kẻ tấn công giành được quyền truy cập vào FTP của XAMPP bằng tài khoản thông thường (có thể là daemon hoặc nobody) và mật khẩu mặc định yếu, bước tiếp theo là tải lên một web shell vào thư mục gốc của web”, Check Point cho biết.
Kẻ tấn công có thể tải lên web shell thông qua các phương tiện khác, chẳng hạn như máy chủ MySQL cấu hình sai hoặc bảng điều khiển phpMyAdmin. Chuỗi lây nhiễm tiếp tục với downloader, tải bot IRC và mô-đun bruteforcer.
Hoạt động của phần mềm độc hại bắt đầu sau độ trễ từ 10 đến 400 giây, khởi chạy tối đa 95 luồng tấn công Brute Force trên kiến trúc x86_64, quét các dải địa chỉ IP công cộng ngẫu nhiên, đồng thời bỏ qua các mạng riêng, dải địa chỉ đám mây AWS và mạng của Chính phủ Mỹ.
Mỗi tiến trình con tạo ra một địa chỉ IPv4 và dò tìm cổng dịch vụ tương ứng, kiểm tra danh sách thông tin xác thực được cung cấp và thoát vòng lặp này. Các tiến trình con mới được tạo ra liên tục để duy trì mức độ xử lý đồng thời đã thiết lập.
Mô-đun FTP dựa vào một danh sách gồm 22 cặp tên người dùng/mật khẩu được mã hóa cứng và nhúng trực tiếp trong tệp nhị phân. Các thông tin đăng nhập này tương ứng chặt chẽ với các tài khoản mặc định hoặc thường được sử dụng trong các nền tảng lưu trữ web như XAMPP.
.png)
Chuỗi lây nhiễm của GoBruteforcer
Check Point cho biết trong các chiến dịch gần đây, hoạt động của GoBruteforcer gia tăng bởi việc tái sử dụng các đoạn cấu hình máy chủ phổ biến được tạo ra bởi các mô hình ngôn ngữ lớn (LLM), dẫn đến sự gia tăng các tên người dùng mặc định yếu và dễ đoán, chẳng hạn như appuser, myuser và operator.
Những tên người dùng này thường xuyên xuất hiện trong các hướng dẫn Docker và DevOps do AI tạo ra, khiến các nhà nghiên cứu tin rằng các cấu hình đã được thêm vào các hệ thống thực tế, do đó làm cho chúng dễ bị tấn công bằng phương pháp dò mật khẩu (password-spraying).
Xu hướng thứ hai thúc đẩy chiến dịch gần đây của mạng botnet là các hệ thống máy chủ lỗi thời như XAMPP, vẫn tiếp tục được cài đặt với thông tin đăng nhập mặc định và các dịch vụ FTP mở. Những thiết lập này vô tình làm lộ các thư mục gốc web dễ bị tổn thương, cho phép kẻ tấn công cài đặt web shell.
Báo cáo của Check Point nêu bật một chiến dịch điển hình, trong đó một máy chủ bị xâm nhập đã bị lây nhiễm các công cụ rà quét ví điện tử TRON, thực hiện quét trên cả TRON và Binance Smart Chain (BSC). Kẻ tấn công sử dụng một tệp tin chứa khoảng 23.000 địa chỉ TRON, nhắm mục tiêu vào chúng bằng các tiện ích tự động để xác định và rút tiền từ các ví có số dư khác không.
Các quản trị viên được khuyến cáo nên tránh sử dụng các hướng dẫn cài đặt do AI tạo ra, đồng thời không sử dụng tài khoản và mật khẩu mặc định. Ngoài ra, quản trị viên cũng nên kiểm tra FTP, phpMyAdmin, MySQL và PostgreSQL xem có dịch vụ nào bị rò rỉ hay không, đồng thời thay thế các bộ phần mềm lỗi thời như XAMPP bằng các giải pháp thay thế an toàn hơn.
