Исследователи компании Check Point фиксируют новую волну активности ботнета GoBruteforcer (GoBrut), ориентированную на сервера криптовалютных и блокчейн-проектов. Атакующие стремятся скомпрометировать Linux-серверы и включить их в ботнет, чтобы проводить массовый брутфорс паролей к службам FTP, MySQL, PostgreSQL и панелям управления phpMyAdmin.
Новый этап кампаний GoBruteforcer: фокус на криптовалютной инфраструктуре
По данным Check Point, злоумышленники целенаправленно сканируют инфраструктуру, связанную с криптовалютными биржами, dApp-платформами и блокчейн-проектами. Компрометированные серверы используются как узлы ботнета, выполняющие автоматизированный подбор учетных данных к сервисам, критичным для целостности и доступности данных, включая базы транзакций и вспомогательные панели администрирования.
Особую опасность представляют атаки на phpMyAdmin и аналогичные веб-интерфейсы администрирования БД: при успешном взломе злоумышленники получают возможность экспортировать базы данных, изменять записи, внедрять веб-оболочки и использовать сервер как точку опоры для дальнейшего продвижения по сети.
Как ИИ и устаревшие веб-стеки усиливают угрозу
Новая волна атак GoBruteforcer подпитывается сразу двумя системными проблемами. Во-первых, активно используются шаблонные примеры конфигураций, сгенерированные ИИ и взятые из массовых туториалов. Во многих таких примерах повторяются одни и те же имена пользователей и слабые настройки по умолчанию, которые затем без изменений попадают в боевую инфраструктуру.
Во-вторых, сохраняется значительный пласт устаревших веб-стеков вроде XAMPP, которые развернуты как «временное решение», но годами остаются в продакшене. На таких серверах часто обнаруживаются открытые FTP-сервисы и административные панели без надлежащей аутентификации, шифрования и сегментации сетевого доступа, что делает их легкой добычей для автоматизированных сканеров ботнета.
Эволюция Go-малвари GoBruteforcer и связка с другими ботнетами
GoBruteforcer был впервые подробно описан специалистами Palo Alto Networks Unit 42 в марте 2023 года. Тогда вредонос уже умел атаковать Unix-подобные платформы с архитектурами x86, x64 и ARM, разворачивать IRC-бота, веб-шелл для удаленного доступа и модуль для брутфорса, сканирующий интернет в поисках уязвимых систем.
Позднее, в сентябре 2025 года, исследователи Black Lotus Labs (Lumen Technologies) обнаружили, что часть машин, зараженных малварью SystemBC, одновременно входила в инфраструктуру ботнета GoBruteforcer. Это указывает на кооперацию или повторное использование инфраструктуры между различными киберпреступными группировками.
В середине 2025 года Check Point зафиксировала более продвинутую версию GoBruteforcer. Новый билд содержит сильно обфусцированный IRC-бот, переписанный на кроссплатформенном языке, улучшенные механизмы устойчивости к перезапуску, новые техники сокрытия процессов и динамические списки учетных данных, подгружаемые и обновляемые по мере развития кампании.
Динамические словари паролей и ориентация на криптопроекты
Ключевой элемент последней модификации — обновляемые списки логинов и паролей. Они включают комбинации вида myuser:Abcd@123 или appeaser:admin123456, которые часто встречаются в обучающих материалах по настройке БД и официальной документации. Эти же материалы становятся частью датасетов для обучения больших языковых моделей, в результате чего ИИ нередко воспроизводит примеры кода с теми же «демо»-логинами, уже в реальных проектах.
Отдельные учетные записи из словарей явно нацелены на криптовалютный сектор: cryptouser, appcrypto, crypto_app, crypto. Другие ориентированы на типичные установки CMS и phpMyAdmin (например, root, wordpress, wpuser). По наблюдениям Check Point, операторы ботнета используют небольшой, но стабильный пул паролей, периодически варьируя имена пользователей и добавляя нишевые варианты под конкретные цели.
Для FTP-брутфорса применяется отдельный, жестко закодированный в исполняемом файле набор учетных данных. Его структура указывает на фокус на типовых веб-хостинговых стеках и сервисных аккаунтах по умолчанию, которые часто остаются без смены пароля после развертывания.
Цепочка атаки: от открытого FTP до разведки в блокчейне TRON
В наблюдаемых атаках первоначальный доступ достигается через публично доступный FTP-сервис на серверах с XAMPP. После успешного подбора пароля злоумышленники загружают PHP-веб-шелл, который выполняется на стороне сервера и используется для скачивания и запуска обновленной версии IRC-бота. Для разных архитектур применяются отдельные шелл-скрипты, что обеспечивает кроссплатформенность кампании.
Скомпрометированный хост включается в ботнет и может использоваться как для дальнейшего брутфорса внешних систем, так и для размещения вспомогательных модулей. Так, анализ кампании показал, что один из зараженных серверов содержал модуль, перебирающий адреса в блокчейне TRON и запрашивающий балансы через сервис tronscanapi[.]com. Целью было выявление кошельков с ненулевыми средствами, что указывает на целенаправленную разведку и подготовку к атакам на блокчейн-проекты и криптокошельки.
Рекомендации по защите серверов и криптовалютной инфраструктуры
Эксперты по кибербезопасности подчеркивают, что GoBruteforcer — проявление более широкой проблемы сочетания открытой инфраструктуры, слабых паролей и автоматизированных инструментов атак. Для снижения рисков организациям рекомендуется:
Усиление базовой конфигурации и отказ от устаревших решений
Отключать или жестко ограничивать доступ к FTP (переход на SFTP/SSH, фильтрация по IP), удалять либо изолировать устаревшие XAMPP-инсталляции, закрывать публичный доступ к phpMyAdmin и аналогичным панелям, используя VPN и двухфакторную аутентификацию.
Управление учетными данными и влияние ИИ-контента
Полностью исключать использование логинов и паролей «из примеров», генерировать уникальные сложные пароли для каждого сервиса, применять менеджеры секретов и централизованные средства управления доступом. При использовании кода, сгенерированного ИИ или взятого из туториалов, необходимо проводить обязательный security code review, уделяя внимание учетным данным и настройкам по умолчанию.
Мониторинг и защита криптовалютных проектов
Для проектов, работающих с криптоактивами, критично внедрять раздельные контуры для публичных нод, внутренних API и баз данных, минимизировать доступ к кошелькам с большими балансами, использовать аппаратные хранилища и сценарии быстрого реагирования на компрометацию серверов и учетных данных.
GoBruteforcer демонстрирует, как сравнительно простая Go-малварь способна масштабироваться за счет совокупности типичных ошибок конфигурации и повсеместного копирования небезопасных примеров. Организациям, особенно в сфере криптовалют и блокчейн-разработки, имеет смысл пересмотреть свои конфигурации, процессы DevOps и подход к использованию ИИ-инструментов, чтобы не стать частью очередного ботнета для брутфорса.
