СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
9 января
#ИБ#Инфра

GoBruteforcer: ботнет на Go взламывает MySQL, FTP и phpMyAdmin

GoBruteforcer, также известный как GoBrut, — модульный ботнет, написанный на Go, который целенаправленно атакует Linux‑сервера, подбирая учетные данные для сервисов FTP, MySQL, PostgreSQL и phpMyAdmin. Нынешний всплеск активности объясняется сочетанием предсказуемых конфигураций серверов (включая примеры, сгенерированные AI) и сохранением устаревших веб‑стеков, таких как XAMPP, что оставляет сервисы доступными для злоумышленников.

Ключевые факты

  • Модульная архитектура: ботнет распространяется через взаимосвязанные компоненты — web‑shells, загрузчики, IRC‑боты и модули брутфорса.
  • Цели атак: FTP, MySQL, PostgreSQL, phpMyAdmin; особый интерес — базы данных, связанные с криптовалютными и блокчейн‑проектами.
  • Масштаб риска: по наблюдениям, «более 50 000 серверов» в интернете могут быть уязвимы для GoBruteforcer.
  • Финансовая эксплуатация: на скомпрометированных хостингах обнаружены Go‑утилиты и вредоносные инструменты для управления криптовалютой.

Как работает ботнет

Заражение обычно начинается с плохо защищенных FTP‑сервисов — особенно в системах, где используется XAMPP. В таких средах настройки по умолчанию и слабые пароли дают злоумышленникам первоначальный доступ, после чего на хост разворачивается IRC‑бот для дальнейшего управления и распространения.

Механизм подбора учетных данных основан на систематическом переборе: злоумышленники используют предопределенные списки самых распространенных логинов и паролей. C2‑сервер управляет профилями атак и хранящимися списками учетных данных, повторяющимися в разных кампаниях, чтобы повысить вероятность успешного входа.

Технические особенности

  • Интеллектуальный поиск целей: бот выполняет выбор IP‑адресов и проверяет доступность сервисов перед попыткой подбора учетных данных.
  • Жёстко запрограммированные и динамические списки: в коде содержатся hardcoded учетные данные для первичного доступа к FTP, а для MySQL и PostgreSQL C2‑сервер может поставлять дополнительные логины.
  • Модуль phpMyAdmin: реализует сложную навигацию по HTTP‑интерфейсу для выполнения попыток входа через веб‑панель.
  • Методы скрытности и закрепления: изменение имени процесса, создание запланированных задач, управление процессами для балансировки нагрузки и минимизации наблюдаемого сетевого трафика.
  • Калибровка под целевую архитектуру: конфигурации подобраны для быстрой переборки учетных данных с высокой пропускной способностью и низкой заметностью.

Целевые объекты и последствия

Анализ компрометированных хостов показывает явную ориентацию на инфраструктуру, связанную с криптовалютами и блокчейном. На заражённых серверах находили инструменты на базе Go и утилиты для управления криптовалютой — это указывает на успешную финансовую эксплуатацию через операции ботнета.

Причины роста активности

Всплеск связали с двумя факторами:

  • широкое использование примеров конфигураций, созданных AI — такие примеры часто содержат предсказуемые имена пользователей и слабые пароли по умолчанию;
  • сохранение устаревших стеков (например, XAMPP) на продуктивных хостах или для разработки без надлежащего уровня защиты.

Практические рекомендации по защите

Для снижения риска атак от GoBruteforcer и аналогичных инструментов рекомендуется:

  • убрать или надёжно сконфигурировать XAMPP и другие dev‑стеки на публичных серверах;
  • отключить прямой доступ к MySQL/PostgreSQL/phpMyAdmin из интернета — разрешать доступ только по VPN или через белый список IP;
  • заменить пароли по умолчанию на сложные, уникальные пароли и ввести централизованное управление учетными данными;
  • включить двухфакторную аутентификацию там, где это возможно;
  • ограничить возможности FTP: использовать SFTP/FTPS, отключить анонимный доступ и сильные политики паролей;
  • внедрить мониторинг на предмет появления web‑shells, подозрительных Go‑бинарников и неожиданных запланированных задач;
  • ограничить права процессов и контейнеров, применять принцип наименьших привилегий;
  • реализовать контроль исходящих соединений и фильтрацию по IP для блокировки известных C2; поддерживать актуальные списки угроз;
  • проводить регулярные проверки и обновления стека ПО, закрывать уязвимости и удалять устаревшие компоненты;
  • подготовить план инцидент‑реакции: обнаружение, изоляция, анализ и восстановление с учётом возможной утечки криптовалютных активов.

Вывод

GoBruteforcer демонстрирует, насколько опасны автоматизированные кампании при сочетании простых ошибок конфигурации и доступности мощной инфраструктуры управления. Проактивная защита — надёжная конфигурация сервисов, управление учетными данными и своевременный мониторинг — остаётся ключом к снижению риска и препятствию успешной эксплуатации таких ботнетов.

«Инцидент подчёркивает значительную угрозу, исходящую от автоматизированных инструментов, которые используют обширную скомпрометированную инфраструктуру.»

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: