“`json
{
“title”: “GoBruteforcerボットネットキャンペーンが5万台のLinuxサーバーを脅かす”,
“content”: “
GoBruteforcerボットネットの脅威が拡大
高度に洗練されたモジュラー型ボットネット「GoBruteforcer」が、世界中のLinuxサーバーを標的に活発な攻撃を展開しています。研究者たちは、5万台以上のインターネットに接続されたサーバーがこの組織的な攻撃に対して脆弱であると推定しています。2023年に初めて発見されて以来、著しく進化を遂げたこの脅威は、公開されたデータベースやファイル転送サービスに依存する組織にとって、増大する危険性をもたらしています。
GoBruteforcerの巧妙な手口
GoBruteforcer(通称GoBrut)は、Linuxサーバー上のFTP、MySQL、PostgreSQL、phpMyAdminといった重要なサービスに対し、ユーザーパスワードのブルートフォース攻撃を系統的に行います。このボットネットは、ウェブシェル、ダウンローダー、IRCボット、ブルートフォーサーモジュールを含む洗練された感染チェーンを通じて動作し、脆弱なシステムを侵害するために連携して機能します。
広がる攻撃対象
攻撃対象は広範囲に及びます。Shodanの最近のデータによると、約570万台のFTPサーバー、223万台のMySQLサーバー、56万台のPostgreSQLサーバーがデフォルトポートでインターネットに公開されています。これに加えて、数万のphpMyAdminパネルも、GoBruteforcerのオペレーターにとって主要な標的となっています。
AI生成設定とレガシーソフトウェアが脆弱性を助長
GoBruteforcerキャンペーンの現在の波を促進する2つの重要な要因があります。第一に、AIによって生成されたサーバー展開例の大量採用が、意図せずして一般的なユーザー名や弱いデフォルトの認証情報を本番環境に広めています。研究者がMySQLサーバーのDocker展開指示について主流の大規模言語モデルをテストしたところ、どちらも「appuser」や「myuser」といった標準的なユーザーパターンを含むほぼ同一の設定スニペットを生成しました。これらは、GoBruteforcerが積極的に悪用するまさにその認証情報です。
第二に、XAMPPのようなレガシーウェブサーバーソフトウェアスタックが依然として多数のウェブサイトで稼働していますが、これらは事前インストールされたFTPサーバーやデフォルトの認証情報が出荷されており、実質的に悪用を待つバックドアとして機能しています。
Check Point Researchによる調査結果
Check Point Researchは、GoBruteforcerキャンペーンが暗号通貨およびブロックチェーンプロジェクトのデータベースを特に標的としていることを観測しました。侵害されたホストの1つからは、TRON残高スキャナーやTRONおよびBinance Smart Chain向けのトークンスイープユーティリティなどのGoベースのツールが回収され、約23,000のTRONアドレスを含むファイルも発見されました。オンチェーン取引分析により、これらの金銭的な動機による攻撃の一部が、被害者のウォレットから資金を実際に吸い上げていたことが確認されました。
2025年版の強化された機能
2025年中頃の亜種は、以前のバージョンと比較して顕著な技術的進歩を示しています。IP生成機能は、禁止範囲外のアドレスを見つけるまで4つのオクテットで「無限のサイコロ振り」を実行します。更新されたボットネットは、大幅に難読化されたGo言語で完全に書き直されたIRCボット、cronジョブを利用した改善された持続性メカニズム、悪意のあるプロセスを正規のシステムサービスとして偽装する高度なプロセス隠蔽技術、そしてコマンド&コントロールサーバーによって配信される動的な認証情報リストを特徴としています。
ボットネットは、アーキテクチャ固有のワーカープールを通じて運用上の回復力を維持しており、64ビットシステムでは約95のブルートフォーススレッドを並行して実行しています。GoBruteforcerの認証情報リストと1000万件の漏洩パスワードを比較した分析では、2.44%の重複率が明らかになり、これはGoBruteforcerの攻撃対象となりうる約54,600のMySQLインスタンスと13,700のPostgreSQLインスタンスが、ボットネットの保有するパスワードでアクセスされる可能性があることを意味します。この発見は、Googleの2024年Cloud Threat Horizonsレポートと一致しており、弱体化または欠落した認証情報が侵害されたクラウド環境における初期アクセスベクトルの47.2%を占めていると指摘されています。
セキュリティ対策の提言
セキュリティ専門家は、組織に対し、インターネットに接続されたサービスを直ちに監査し、強力な認証プロトコルを実装し、デフォルトアカウントを無効にし、ネットワークセグメンテーションを展開して、これらの執拗なブルートフォースキャンペーンへの露出を最小限に抑えるよう強く求めています。オペレーターは毎週複数回キャンペーンプロファイルを変更し、一般的な運用ユーザー名を使用する広範囲なスプレー攻撃と、暗号通貨プラットフォームやWordPressインストールなどの特定の業界を標的としたセクターfocused攻撃を循環させています。
“,
“status”: “publish”
}
“`”
“`json
{
“title”: “GoBruteforcerボットネットキャンペーンが5万台のLinuxサーバーを脅かす”,
“content”: “
GoBruteforcerボットネットの脅威が拡大
高度に洗練されたモジュラー型ボットネット「GoBruteforcer」が、世界中のLinuxサーバーを標的に活発な攻撃を展開しています。研究者たちは、5万台以上のインターネットに接続されたサーバーがこの組織的な攻撃に対して脆弱であると推定しています。2023年に初めて発見されて以来、著しく進化を遂げたこの脅威は、公開されたデータベースやファイル転送サービスに依存する組織にとって、増大する危険性をもたらしています。
GoBruteforcerの巧妙な手口
GoBruteforcer(通称GoBrut)は、Linuxサーバー上のFTP、MySQL、PostgreSQL、phpMyAdminといった重要なサービスに対し、ユーザーパスワードのブルートフォース攻撃を系統的に行います。このボットネットは、ウェブシェル、ダウンローダー、IRCボット、ブルートフォーサーモジュールを含む洗練された感染チェーンを通じて動作し、脆弱なシステムを侵害するために連携して機能します。
広がる攻撃対象
攻撃対象は広範囲に及びます。Shodanの最近のデータによると、約570万台のFTPサーバー、223万台のMySQLサーバー、56万台のPostgreSQLサーバーがデフォルトポートでインターネットに公開されています。これに加えて、数万のphpMyAdminパネルも、GoBruteforcerのオペレーターにとって主要な標的となっています。
AI生成設定とレガシーソフトウェアが脆弱性を助長
GoBruteforcerキャンペーンの現在の波を促進する2つの重要な要因があります。第一に、AIによって生成されたサーバー展開例の大量採用が、意図せずして一般的なユーザー名や弱いデフォルトの認証情報を本番環境に広めています。研究者がMySQLサーバーのDocker展開指示について主流の大規模言語モデルをテストしたところ、どちらも「appuser」や「myuser」といった標準的なパスワードパターンを含むほぼ同一の設定スニペットを生成しました。これらは、GoBruteforcerが積極的に悪用するまさにその認証情報です。
第二に、XAMPPのようなレガシーウェブサーバーソフトウェアスタックが依然として多数のウェブサイトで稼働していますが、これらは事前インストールされたFTPサーバーやデフォルトの認証情報が出荷されており、実質的に悪用を待つバックドアとして機能しています。
Check Point Researchによる調査結果
Check Point Researchは、GoBruteforcerキャンペーンが暗号通貨およびブロックチェーンプロジェクトのデータベースを特に標的としていることを観測しました。侵害されたホストの1つからは、TRON残高スキャナーやTRONおよびBinance Smart Chain向けのトークンスイープユーティリティなどのGoベースのツールが回収され、約23,000のTRONアドレスを含むファイルも発見されました。オンチェーン取引分析により、これらの金銭的な動機による攻撃の一部が、被害者のウォレットから資金を実際に吸い上げていたことが確認されました。
2025年版の強化された機能
2025年中頃の亜種は、以前のバージョンと比較して顕著な技術的進歩を示しています。IP生成機能は、禁止範囲外のアドレスを見つけるまで4つのオクテットで「無限のサイコロ振り」を実行します。更新されたボットネットは、大幅に難読化されたGo言語で完全に書き直されたIRCボット、cronジョブを利用した改善された持続性メカニズム、悪意のあるプロセスを正規のシステムサービスとして偽装する高度なプロセス隠蔽技術、そしてコマンド&コントロールサーバーによって配信される動的な認証情報リストを特徴としています。
ボットネットは、アーキテクチャ固有のワーカープールを通じて運用上の回復力を維持しており、64ビットシステムでは約95のブルートフォーススレッドを並行して実行しています。GoBruteforcerの認証情報リストと1000万件の漏洩パスワードを比較した分析では、2.44%の重複率が明らかになり、これはGoBruteforcerの攻撃対象となりうる約54,600のMySQLインスタンスと13,700のPostgreSQLインスタンスが、ボットネットの保有するパスワードでアクセスされる可能性があることを意味します。この発見は、Googleの2024年Cloud Threat Horizonsレポートと一致しており、弱体化または欠落した認証情報が侵害されたクラウド環境における初期アクセスベクトルの47.2%を占めていると指摘されています。
セキュリティ対策の提言
セキュリティ専門家は、組織に対し、インターネットに接続されたサービスを直ちに監査し、強力な認証プロトコルを実装し、デフォルトアカウントを無効にし、ネットワークセグメンテーションを展開して、これらの執拗なブルートフォースキャンペーンへの露出を最小限に抑えるよう強く求めています。オペレーターは毎週複数回キャンペーンプロファイルを変更し、一般的な運用ユーザー名を使用する広範囲なスプレー攻撃と、暗号通貨プラットフォームやWordPressインストールなどの特定の業界を標的としたセクターfocused攻撃を循環させています。
“,
“status”: “publish”
}
“`