サイバーニュース.jp

世界のサイバーなニュースを配信

GoBruteforcerが仮想通貨・ブロックチェーンプロジェクトを標的にした新たな攻撃を仕掛ける

カテゴリ:

新たなGoBruteforcer攻撃の概要

2026年1月7日、暗号通貨およびブロックチェーンプロジェクトのデータベースを標的とした新たなGoBruteforcerボットネットマルウェア攻撃が確認されました。この攻撃は、AI生成された設定例を利用していると見られる公開サーバーを狙っています。GoBruteforcer、別名GoBrutは、Golangベースのボットネットであり、通常、公開されているFTP、MySQL、PostgreSQL、phpMyAdminサービスを標的にします。このマルウェアは、侵害されたLinuxサーバーを利用してランダムな公開IPをスキャンし、ブルートフォースログイン攻撃を実行します。

脆弱な防御体制を悪用

Check Pointの研究者によると、GoBrut攻撃に対して脆弱なインターネットに接続されたサーバーは50,000台以上存在すると推定されています。初期の侵害は、多くの場合、XAMPPを実行しているサーバーのFTPサービスを通じて行われます。これは、XAMPPのデフォルト設定に脆弱なパスワードが使用されていることが多く、管理者がセキュリティ設定を見直さない限り、そのままの状態になっているためです。

Check Pointは次のように述べています。「攻撃者が標準アカウント(一般的にはdaemonまたはnobody)と脆弱なデフォルトパスワードを使用してXAMPP FTPへのアクセスを獲得した場合、次の典型的なステップはウェブシェルをwebrootにアップロードすることです。」攻撃者は、誤って設定されたMySQLサーバーやphpMyAdminパネルなど、他の手段でウェブシェルをアップロードすることもあります。感染は、ダウンローダー、IRCボットのフェッチ、そしてブルートフォーサーモジュールへと続きます。

マルウェアの活動と感染チェーン

マルウェアの活動は10〜400秒の遅延後に開始され、x86_64アーキテクチャ上で最大95のブルートフォーススレッドを起動します。これにより、プライベートネットワーク、AWSクラウド範囲、米国の政府ネットワークをスキップし、ランダムな公開IP範囲をスキャンします。各ワーカーは単一のランダムな公開IPv4アドレスを生成し、関連するサービスポートをプローブし、提供された認証情報リストを試行し、その後終了します。新しいワーカーは設定された同時実行レベルを維持するために継続的に生成されます。

FTPモジュールは、バイナリに直接埋め込まれた22組のユーザー名とパスワードのハードコードされたリストに依存しています。これらの認証情報は、XAMPPなどのウェブホスティングスタックでデフォルトまたは一般的に展開されているアカウントと密接に対応しています。

GoBruteforcerの感染チェーン:

  • 標準アカウントと脆弱なデフォルトパスワードを使用してXAMPP FTPへのアクセスを獲得
  • ウェブシェルをwebrootにアップロード
  • ダウンローダー、IRCボット、ブルートフォーサーモジュールをフェッチ
  • マルウェア活動を開始し、ブルートフォース攻撃を実行

AI生成コードと古いシステムが攻撃を助長

Check Pointによると、最近のGoBruteforcerキャンペーンは、大規模言語モデル(LLM)によって生成された共通のサーバー設定スニペットの再利用によって加速されています。これにより、「appuser」「myuser」「operator」といった脆弱で予測可能なデフォルトユーザー名が蔓延しています。これらのユーザー名は、AI生成されたDockerやDevOpsの指示に頻繁に登場するため、研究者らはこれらの設定が実際のシステムに追加され、パスワードスプレー攻撃に対して脆弱になっていると考えています。

このボットネットの最近のキャンペーンを助長するもう一つの傾向は、XAMPPのような古いサーバースタックが、デフォルトの認証情報と公開されたFTPサービスを搭載し続けていることです。これらの展開は脆弱なwebrootディレクトリを露呈させ、攻撃者がウェブシェルをドロップすることを可能にしています。

Check Pointの報告書では、侵害されたホストがTRONウォレットスキャンツールに感染し、TRONとBinance Smart Chain (BSC)間でスキャンを実行したキャンペーンが強調されています。攻撃者は約23,000のTRONアドレスを含むファイルを使用し、ゼロ以外の残高を持つウォレットを特定して資金を流出させる自動化ツールでそれらを標的にしました。

防御策

GoBruteforcerから防御するためには、管理者はAI生成されたデプロイガイドの使用を避け、強力でユニークなパスワードを持つ非デフォルトのユーザー名に依存すべきです。また、FTP、phpMyAdmin、MySQL、PostgreSQLで公開されているサービスを確認し、XAMPPのような古いソフトウェアスタックをより安全な代替手段に置き換えることを推奨します。

元記事: https://www.bleepingcomputer.com/news/security/new-gobruteforcer-attack-wave-targets-crypto-blockchain-projects/

投稿をさらに読み込む