GoBruteforcer僵尸網絡新攻勢：利用AI生成配置漏洞 瞄準加密貨幣數據庫

GoBruteforcer（又名GoBrut）僵尸網絡發起新一輪惡意攻擊，目標直指暴露在公網的服務器，特別是那些疑似使用AI生成示例配置的加密貨幣及區塊鏈項目數據庫。

該惡意軟件基于Golang編寫，通常針對暴露的FTP、MySQL、PostgreSQL及phpMyAdmin服務發動攻擊。它往往利用已淪陷的Linux服務器掃描隨機公網IP，并實施暴力破解登錄。

利用薄弱防御實施入侵

研究人員估計，目前互聯網上可能有超過5萬臺服務器易受GoBrut攻擊。攻擊者通常通過運行XAMPP的服務器上的FTP服務獲取初始訪問權限。這是因為除非管理員手動進行安全配置，否則默認配置往往包含極易被破解的弱口令。

當攻擊者利用標準賬戶（通常為daemon或nobody）和弱默認密碼成功登錄XAMPP FTP后，典型的下一步操作是將Web后門（Web Shell）上傳至網站根目錄。

攻擊者也可能通過其他途徑上傳Web后門，例如配置不當的MySQL服務器或phpMyAdmin面板。感染鏈條隨后繼續延伸，通過下載器獲取IRC僵尸程序及暴力破解模塊。

惡意軟件在延遲10至400秒后啟動，在x86_64架構上可啟動多達95個暴力破解線程，掃描隨機公網IP段，但會自動跳過私有網絡、AWS云服務段及美國政府網絡。

每個工作線程生成一個隨機公網IPv4地址，探測相關服務端口，嘗試提供的憑證列表，隨后退出。系統會持續生成新的工作線程以維持設定的并發級別。

FTP模塊依賴于直接嵌入在二進制文件中的22組硬編碼用戶名密碼對。這些憑證與XAMPP等虛擬主機套件中的默認或常見部署賬戶高度吻合。

AI生成配置與老舊套件助長攻勢

GoBruteforcer的感染鏈

研究人員指出，在近期的攻擊活動中，GoBruteforcer的活躍度之所以激增，是因為大量服務器復用了由大語言模型（LLM）生成的通用配置片段。這導致了大量弱口令和可預測的默認用戶名（如appuser、myuser、operator）的泛濫。

這些用戶名頻繁出現在AI生成的Docker和DevOps操作指南中，研究人員據此推測，這些配置已被應用到真實系統中，從而使其極易遭受密碼噴灑攻擊。

助長該僵尸網絡近期攻勢的第二個原因是過時的服務器套件（如XAMPP）。這些套件在部署時仍保留默認憑證和開放的FTP服務，暴露了脆弱的網站根目錄，使攻擊者能夠輕松植入Web后門。

一起典型的攻擊案例是一臺受感染的主機被植入了TRON錢包掃描工具，該工具會對TRON和幣安智能鏈（BSC）進行全網掃描。攻擊者使用一個包含約2.3萬個TRON地址的文件，通過自動化工具識別并掏空余額非零的錢包。

為防御GoBruteforcer攻擊，管理員應避免使用AI生成的部署指南，并使用非默認用戶名搭配強密碼。

同時，及時檢查FTP、phpMyAdmin、MySQL和PostgreSQL是否存在暴露的服務，并考慮將XAMPP等過時軟件套件替換為更安全的替代方案。

參考及來源：https://www.bleepingcomputer.com/news/security/new-gobruteforcer-attack-wave-targets-crypto-blockchain-projects/