Forschende von Check Point beobachten eine neue Aktivitaetswelle des GoBruteforcer-Botnets (GoBrut), die gezielt Linux-Server in Kryptowaehrungs- und Blockchain-Umgebungen adressiert. Die kompromittierten Systeme werden in einen Botnet-Verbund eingebunden, der automatisierte Brute-Force-Angriffe auf FTP, MySQL, PostgreSQL und phpMyAdmin durchfuehrt und so Zugang zu kritischen Datenbanken und Administrationsoberflaechen gewinnen soll.
GoBruteforcer zielt auf Kryptowaehrungs- und Blockchain-Infrastruktur
Laut Check Point scannen die Angreifer systematisch Infrastrukturen von Kryptoboesen, dApp-Plattformen und Blockchain-Projekten. Erfolgreich kompromittierte Linux-Server dienen als Knoten des Botnets, die grossflaechig Zugangsdaten zu Datenbankdiensten und Verwaltungsoberflaechen testen. Besonders kritisch ist dies fuer Transaktionsdatenbanken und Backend-Systeme, deren Integritaet direkt mit dem Schutz von Vermoegenswerten verbunden ist.
Ein Schwerpunkt der Kampagne sind phpMyAdmin-Instanzen und aehnliche Web-GUIs fuer Datenbanken. Gelingt der Zugriff, koennen Angreifer Datenbanken exportieren, Eintraege manipulieren, Web-Shells einschleusen und den Server als Ausgangspunkt fuer seitliche Bewegungen im Netzwerk nutzen. Damit wird aus einem einzelnen konfigurationsschwachen Host schnell ein strategischer Einfallspunkt in ganze Krypto-Umgebungen.
Wie KI-Beispiele und Legacy-Stacks Brute-Force-Botnets beguenstigen
Die aktuelle GoBruteforcer-Welle profitiert von zwei strukturellen Schwaechen vieler Unternehmen. Zum einen verbreiten sich ueber KI-generierte Konfigurationsbeispiele und Massen-Tutorials immer wieder identische Benutzernamen und schwache Standardeinstellungen. Diese Beispiel-Logins werden haeufig nahezu unveraendert in produktive Umgebungen uebernommen und landen so in den Wortlisten der Angreifer.
Zum anderen bleiben veraltete Web-Stacks wie XAMPP oft weit laenger im Einsatz als geplant. Sie werden als „temporale Loesung“ aufgesetzt, laufen dann jedoch jahrelang in Produktion. Auf solchen Systemen finden sich haeufig oeffentliche FTP-Dienste, Standard-Accounts und ungeschuetzte Admin-Panels ohne angemessene Authentifizierung, Verschluesselung oder Netzwerksegmentierung – ein ideales Ziel fuer automatisierte Scans und Brute-Force-Botnets.
Entwicklung der Go-Malware GoBruteforcer und Verknuepfung mit anderen Botnets
GoBruteforcer wurde im Maerz 2023 von Palo Alto Networks Unit 42 erstmals detailliert beschrieben. Die Malware ist in Go geschrieben und unterstuetzt Unix-aehnliche Plattformen mit x86-, x64- und ARM-Architekturen. Bereits fruehe Varianten konnten einen IRC-Bot installieren, Web-Shells fuer Remote-Zugriff platzieren und ein Brute-Force-Modul ausrollen, das das Internet nach schwach geschuetzten Systemen durchsucht.
Nach spaeteren Analysen, unter anderem von Black Lotus Labs (Lumen Technologies), waren Systeme mit der Malware SystemBC teilweise parallel im GoBruteforcer-Botnet eingebunden – ein Hinweis auf geteilte oder wiederverwendete Infrastruktur zwischen verschiedenen Gruppen. Check Point meldet zudem eine weiterentwickelte GoBruteforcer-Version mit stark verschleiertem IRC-Bot, verbesserten Persistenzmechanismen, neuen Techniken zur Prozessverschleierung und dynamischen Zugangsdaten-Listen, die laufend aktualisiert werden.
Dynamische Passwort-Wortlisten mit Fokus auf Kryptoprojekte
Kern der aktuellen Kampagne sind dynamisch aktualisierte Login- und Passwortlisten. Diese enthalten typische Kombinationen wie myuser:Abcd@123 oder appeaser:admin123456, wie sie in zahlreichen Tutorials und offizieller Dokumentation vorkommen. Solche Beispiele fliessen zudem in Trainingsdaten grosser Sprachmodelle ein, wodurch KI-Tools denselben unsicheren Beispiel-Code in realen Projekten reproduzieren koennen.
In den beobachteten Wortlisten finden sich explizit auf die Kryptobranche ausgerichtete Accounts wie cryptouser, appcrypto, crypto_app, crypto. Daneben tauchen typische Installationskonten fuer CMS und phpMyAdmin auf, etwa root, wordpress, wpuser. Die Betreiber des Botnets nutzen einen kleinen, stabilen Pool von Passwoertern, variieren regelmaessig Benutzerkennungen und fuegen zielgruppenspezifische Varianten hinzu. Fuer FTP wird ein separater, im Binary hart kodierter Credential-Satz eingesetzt, der klar auf Standard-Webhosting-Stacks und Default-Servicekonten zielt.
Typische Angriffskette: Von offenem FTP zu Blockchain-Aufklaerung
In vielen Faellen beginnt die Kompromittierung mit einem oeffentlich erreichbaren FTP-Dienst auf XAMPP-Servern. Nach erfolgreichem Brute-Force-Login laden die Angreifer eine PHP-Web-Shell hoch und fuehren sie aus. Diese Web-Shell dient als Loader fuer eine aktualisierte Version des IRC-Bots. Architekturspezifische Shell-Skripte stellen sicher, dass die Kampagne sowohl auf x86/x64 als auch auf ARM-Systemen laeuft.
Der infizierte Host wird anschliessend als Knoten im GoBruteforcer-Botnet genutzt – fuer weitere Brute-Force-Angriffe nach aussen oder als Plattform fuer Zusatzmodule. In der Analyse eines Angriffs fand sich etwa ein Modul, das Adressen im TRON-Blockchain-Netzwerk iteriert und ueber tronscanapi[.]com Kontostände abfragt. Ziel ist die Identifikation von Wallets mit Guthaben und damit die gezielte Vorbereitung spaeterer Angriffe auf Blockchain-Projekte und Kryptokonten.
Schutzmassnahmen fuer Linux-Server und Krypto-Infrastrukturen
Basishygiene und Abschaltung unsicherer Dienste
Organisationen sollten FTP-Dienste deaktivieren oder streng einschraenken (Umstieg auf SFTP/SSH, IP-Filterung, Faehigkeitsprinzip), veraltete XAMPP-Installationen entfernen oder isolieren und Admin-Tools wie phpMyAdmin niemals direkt aus dem Internet erreichbar machen. Der Zugriff sollte ausschliesslich ueber VPN, strikte Netzwerksegmentierung und Mehrfaktor-Authentifizierung erfolgen.
Sichere Zugangsdaten und verantwortungsvoller Einsatz von KI-Code
Beispiel-Logins und Demo-Passwoerter duerfen niemals in Produktion verwendet werden. Stattdessen sind fuer jeden Dienst individuelle, starke Passwoerter zu generieren und ueber Passwort- oder Secrets-Manager abzusichern. Bei KI-generiertem Code oder Code aus Tutorials ist ein verpflichtendes Security Code Review notwendig, mit besonderem Fokus auf Zugangsdaten, Standardkonten und Konfigurationen.
Spezielle Hardening-Massnahmen fuer Kryptoprojekte
Krypto- und Blockchain-Projekte sollten strikt getrennte Zonen fuer oeffentliche Nodes, interne APIs und Datenbanken etablieren. Der Zugriff auf Wallets mit hohen Bestaenden ist zu minimieren und, wo moeglich, ueber Hardware-Wallets oder HSMs abzusichern. Incident-Response-Playbooks fuer die Kompromittierung von Servern und Zugangsdaten muessen vorbereitet, regelmaessig geuebt und mit Monitoring fuer verdächtige Brute-Force- und Botnet-Aktivitaeten kombiniert werden.
GoBruteforcer zeigt eindruecklich, wie vergleichsweise einfache Go-Malware dank haeufiger Konfigurationsfehler, veralteter Stacks und unsicherer Beispielkonfigurationen industrialisierte Brute-Force-Kampagnen gegen Krypto- und Linux-Infrastrukturen fahren kann. Unternehmen – insbesondere in der Kryptowaehrungs- und Blockchain-Branche – sollten ihre Serverkonfigurationen, DevOps-Prozesse und den Umgang mit KI-Tools kritisch pruefen, exponierte Dienste systematisch reduzieren und das Thema Zugangsdaten-Management zur Prioritaet machen, um nicht selbst Teil des naechsten Brute-Force-Botnets zu werden.
