GoBruteforcerという名前のマルウェアボットネットは、Linuxサーバーを侵害し、自動パスワードクラッキングノードに変えることができると、サイバーセキュリティ企業は述べています。このハッキングプログラムは、データベースサーバー、ファイル転送サービス、ウェブ管理パネルなど、暗号プロジェクトが使用するインフラに影響を与えています。
GoBrutは、セキュリティの甘いサービスをインターネット上でスキャンし、一般的なユーザー名や弱いパスワードを使ってサービスへのログインを試みます。一度システムが侵害されると、それは分散ネットワークに追加され、ハッカー集団がリモートアクセス可能になります。
GoBruteforcerボットネットは安易なパスワードを突破可能
Check Pointが先週水曜日に発表したレポートによると、このボットネットはFTP、MySQL、PostgreSQL、phpMyAdminなどのサービスの防御を突破できます。これらのプログラムは、ブロックチェーンスタートアップや分散型アプリ開発者がユーザーデータ、アプリケーションロジック、内部ダッシュボードを管理するために使用しています。
GoBruteが侵害したシステムは、コマンド&コントロールサーバーからコマンドを受け取り、どのサービスを攻撃するかを指示され、ブルートフォース攻撃用の認証情報が提供されます。判明したログイン情報は他のシステムへのアクセスや、機密データの窃取、隠しアカウントの作成、ボットネットの拡大に再利用されます。
Check Pointは、感染したホストが悪意あるペイロードのホスティング、新たな被害者へのマルウェア配布、またはコアシステムがダウンしている場合のバックアップコントロールサーバーとして再利用される可能性も指摘しました。
現在、多くの開発チーム(MicrosoftやAmazonのような大手テック企業も含む)は、大規模言語モデル(LLMs)が生成したコードスニペットやセットアップガイド、またはオンラインフォーラムからコピーしたものを利用しています。
Check Pointは、AIモデルは新しいパスワードを生成できず、学習した内容を模倣するため、ユーザー名やデフォルトパスワードが非常に予測しやすく、システムがインターネットに公開される前に十分に早く変更されないことを説明しています。
特にXAMPPのようなレガシーウェブスタックが使用されている場合、管理サービスがデフォルトで公開され、ハッカーにとって簡単な侵入口となるため、この問題はさらに深刻化します。
GoBruteforcerのキャンペーンは2023年に始まったとUnit 42が発見
GoBruteforcerは2023年3月にPalo Alto NetworksのUnit 42によって初めて記録され、その際、Unix系システム(x86、x64、ARMアーキテクチャ)を侵害する能力が詳述されました。このマルウェアはInternet Relay Chatボットとウェブシェルを展開し、攻撃者がリモートアクセスを維持できるようにします。
2025年9月、Lumen TechnologiesのBlack Lotus Labsの研究者は、SystemBCという別のマルウェアファミリーに関連する感染マシンの一部がGoBruteforcerノードであることを発見しました。Check Pointのアナリストは、攻撃で使われたパスワードリストを約1,000万件の流出認証情報データベースと比較し、約2.44%の重複を発見しました。
この重複率に基づき、ボットネットが使うパスワードの1つを受け付けるデータベースサーバーが数万台に上る可能性があると推定されています。Googleの2024年Cloud Threat Horizonsレポートによれば、クラウド環境の侵害における初期アクセス経路の47.2%は、認証情報の弱さまたは欠如が原因でした。
ブロックチェーンとAIによる偵察が機密データを露呈すると研究で判明
GoBruteが暗号通貨環境で追跡された事例では、ネットワークハッカーがブロックチェーンプロジェクトの命名規則に一致する暗号関連のユーザー名やパスワードのバリエーションを利用していました。他のキャンペーンでは、プロジェクトのウェブサイトやダッシュボードで利用されるWordPressサイトにリンクしたphpMyAdminパネルが標的となりました。
「いくつかのタスクは明らかにセクター特化型です。例えば、cryptouser、appcrypto、crypto_app、cryptoといった暗号関連のユーザー名を使った攻撃を観測しました。これらのケースでは、使用されたパスワードは標準的な弱いリストと、cryptouser1やcrypto_user1234のような暗号特有の推測を組み合わせていました」とCheck Pointは述べ、パスワードの例を挙げました。
Check Pointは、侵害されたサーバーがTRONブロックチェーンアドレスをスキャンし、パブリックブロックチェーンAPIを通じて残高を照会し、資金を保有するウォレットを特定するモジュールのホスティングに利用されていたことも特定しました。
「公開されたインフラ、弱い認証情報、そしてますます自動化されたツールの組み合わせ。ボットネット自体は技術的には単純ですが、運営者はオンラインで誤設定されたサービスの多さから利益を得ています」とセキュリティ企業は記しています。
この記事を読んでいるあなたは、すでに一歩先を行っています。このままニュースレターで最新情報を入手しましょう。
