Una nuova ondata di attacchi da parte della botnet GoBruteforcer ha colpito database di progetti di criptovaluta e blockchain, costringendoli a forzare le password degli utenti per servizi come FTP, MySQL, PostgreSQL e phpMyAdmin su server Linux.
Le campagne sono state guidate da due fattori: il massiccio riutilizzo di server generati dall’intelligenza artificiale che propagano nomi utente comuni e password deboli, e la persistenza di stack web legacy come XAMPP che espongono interfacce FTP e amministrative con un’hardening minima.
GoBruteforcer
Il botnet GoBruteforcer, noto anche come GoBrut, è stato documentato per la prima volta da Palo Alto Networks Unit 42 nel marzo 2023. in grado di attaccare piattaforme Unix-like che eseguono architetture x86, x64 e ARM per distribuire un bot IRC e una shell web per l’accesso remoto, oltre a recuperare un modulo di brute-force per scansionare sistemi vulnerabili ed espandere la portata del botnet.
Successivamente, un rapporto del team Black Lotus Labs di Lumen Technologies ha scoperto che una parte degli bot infetti sotto il controllo di un’altra famiglia di malware nota come SystemBC faceva parte del botnet GoBruteforcer.
Attività
GoBruteforcer rappresenta un problema più ampio e persistente: la combinazione di infrastrutture esposte, credenziali deboli e strumenti sempre più automatizzati.
