Інфраструктура криптовалютних бірж і блокчейн-проєктів знову опинилася під прицілом: дослідники Check Point фіксують нову хвилю активності ботнету GoBruteforcer (GoBrut), яка націлена на компрометацію Linux-серверів і масовий брутфорс паролів до FTP, MySQL, PostgreSQL та панелей phpMyAdmin.
Нова хвиля атак GoBruteforcer на криптовалютну інфраструктуру
За спостереженнями Check Point, оператори GoBruteforcer цілеспрямовано сканують інфраструктуру, пов’язану з криптовалютними біржами, dApp-платформами та блокчейн-проєктами. Заражені сервери включаються до ботнету й використовуються як вузли для автоматизованого підбору облікових даних до сервісів, критичних для цілісності транзакцій і доступності даних.
Особливо небезпечними є атаки на phpMyAdmin та подібні веб-інтерфейси керування БД. У разі успішного злому зловмисники можуть експортувати бази даних, змінювати записи, впроваджувати веб-оболонки (web shell) і використовувати скомпрометований хост як точку опори для подальшого руху мережею.
Як ІІ-конфігурації та застарілі веб-стеки підсилюють ботнет
Поточна кампанія GoBruteforcer підживлюється двома системними проблемами. По-перше, у продакшн потрапляють шаблонні конфігурації, згенеровані штучним інтелектом або скопійовані з масових туторіалів. У багатьох таких прикладах повторюються однакові імена користувачів і слабкі налаштування за замовчуванням, які адміністратори нерідко залишають без змін.
По-друге, у багатьох компаніях роками функціонують застарілі веб-стеки на кшталт XAMPP, розгорнуті як «тимчасове рішення». На цих хостах часто виявляються відкриті FTP-сервіси й адміністративні панелі без належної аутентифікації, шифрування та мережевої сегментації, що робить їх легкою ціллю для автоматизованих сканерів ботнету.
Еволюція Go-малварі GoBruteforcer та взаємодія з іншими ботнетами
Вперше GoBruteforcer детально описали фахівці Palo Alto Networks Unit 42 у березні 2023 року. Уже тоді шкідливе ПЗ вміло атакувати Unix-подібні платформи з архітектурами x86, x64 і ARM, розгортати IRC-бота, веб-шел і модуль для брутфорсу, який сканує інтернет у пошуках уразливих систем.
У вересні 2025 року дослідники Black Lotus Labs (Lumen Technologies) виявили, що частина машин, заражених малвар’ю SystemBC, одночасно входила до інфраструктури ботнету GoBruteforcer. Це вказує на можливу кооперацію або повторне використання інфраструктури між різними кіберзлочинними групами.
Середина 2025 року ознаменувалася появою більш просунутої версії GoBruteforcer, зафіксованої Check Point. Новий білд містить сильно обфускований IRC-бот, переписаний на кросплатформенній мові, покращені механізми стійкості до перезапуску, нові техніки приховування процесів і динамічні списки облікових даних, що підвантажуються й оновлюються в ході кампанії.
Динамічні словники паролів і орієнтація на криптопроєкти
Ключовою відмінністю останньої модифікації є оновлювані словники логінів і паролів. Їхній вміст включає пари на кшталт myuser:Abcd@123 чи appeaser:admin123456, які масово зустрічаються в навчальних матеріалах з налаштування БД та офіційній документації. Ці ж приклади часто потрапляють у датасети для навчання великих мовних моделей, внаслідок чого ІІ відтворює «демо»-логіни вже в реальних проєктах.
Окремі облікові записи з цих словників очевидно націлені на криптовалютний сектор: cryptouser, appcrypto, crypto_app, crypto. Інші орієнтовані на типові інсталяції CMS та phpMyAdmin (наприклад, root, wordpress, wpuser). За даними Check Point, оператори ботнету використовують порівняно невеликий, але стабільний пул паролів, періодично змінюючи імена користувачів і додаючи нішеві варіанти під конкретні цілі. Для FTP-брутфорсу застосовується окремий, жорстко закодований набір облікових даних, що віддзеркалює типові веб-хостингові стеки та сервісні акаунти за замовчуванням.
Ланцюжок атаки: від відкритого FTP до розвідки в блокчейні TRON
У зафіксованих інцидентах початковий доступ здобувається через публічно доступний FTP на серверах із XAMPP. Після успішного підбору пароля зловмисники завантажують PHP-веб-шел, який виконується на сервері та використовується для скачування й запуску оновленої версії IRC-бота. Для різних архітектур застосовуються окремі shell-скрипти, що забезпечує кросплатформеність кампанії.
Скомпрометований хост включається до ботнету та може використовуватися як для подальшого брутфорсу зовнішніх систем, так і для розміщення допоміжних модулів. Аналіз інфраструктури показав, що один із заражених серверів містив модуль, який перебирає адреси в блокчейні TRON і запитує баланси через сервіс tronscanapi[.]com. Мета — виявити гаманці з ненульовими залишками, що свідчить про цільову розвідку та підготовку атак проти блокчейн-проєктів і криптогаманців.
Практичні рекомендації із захисту Linux-серверів та криптовалютних сервісів
Посилення базової конфігурації та відмова від застарілих рішень
Організаціям варто максимально обмежити або повністю вимкнути FTP, перейшовши на SFTP/SSH із фільтрацією за IP. Застарілі XAMPP-інсталяції потрібно видалити або ізолювати в окремих сегментах. Доступ до phpMyAdmin та аналогічних панелей слід закривати з публічного інтернету, надаючи доступ лише через VPN та з використанням двохфакторної аутентифікації.
Керування обліковими даними та безпечне застосування ІІ
Слід повністю виключити використання логінів і паролів «з прикладів» та генерувати унікальні складні паролі для кожного сервісу. Рекомендовано застосовувати менеджери секретів і централізовані системи керування доступом. Код, згенерований ІІ або скопійований із туторіалів, повинен проходити обов’язковий security code review із фокусом на облікових даних і налаштуваннях за замовчуванням.
Захист криптовалютної інфраструктури та моніторинг
Для проєктів, що працюють із криптоактивами, критично важливо розділяти контури публічних нод, внутрішніх API та баз даних, мінімізувати кількість систем із доступом до гаманців із великими балансами та використовувати апаратні сховища. Необхідно впровадити постійний моніторинг аномальної активності, журнали аудиту та сценарії швидкого реагування на компрометацію серверів і облікових записів.
GoBruteforcer наочно демонструє, як відносно проста Go-малварь може масштабуватися завдяки поєднанню відкритої інфраструктури, слабких паролів і автоматизованих інструментів атак. Організаціям, особливо в галузі криптовалют і блокчейн-розробки, доцільно переглянути свої конфігурації, процеси DevOps і підходи до використання ІІ-інструментів, провести аудит експонованих сервісів і зміцнити керування доступом, щоб їхні сервери не стали черговими вузлами ботнету для брутфорсу.
