GoBruteforcerボットネット攻撃

GoBruteforcerの活動が再び活発化し、暗号通貨やブロックチェーンプロジェクトに関連するデータベースが積極的に標的となっています。攻撃者は脆弱なサーバーを分散型ボットネットに組み入れ、Linuxシステム上のFTP、MySQL、PostgreSQL、phpMyAdminなどの一般的なサービスに対して大規模なブルートフォース攻撃を実行できるようになっています。

この攻撃は無差別攻撃ではありません。証拠から、ブロックチェーン・エコシステムに関連するインフラに明確な標的が絞られていることが分かります。これは、金銭的な動機と、この分野におけるセキュリティが不十分な開発環境の多さの両方を反映しています。

このキャンペーンが勢いを増している理由

現在の急増を促しているのは、2つの相乗的な傾向です。第一に、管理者がAI生成のデプロイメントガイドやサーバーサンプルを再利用するケースが増えています。これらの多くは、オンラインチュートリアルやドキュメントに見られる脆弱なデフォルトのユーザー名と認証情報を複製したものが多く見られます。第二に、レガシーWebスタック、特にXAMPPインストールでは、十分なセキュリティ対策が講じられていない、露出したFTPサービスと管理インターフェースが依然として導入されています。

これらの条件が組み合わさることで、攻撃者にとって予測可能かつ豊富な攻撃対象領域が提供されます。

2023年の起源から、より危険な2025年の変種へ

GoBruteforcer（別名GoBrut）は、2023年3月に初めて文書化されました。初期の調査では、x86、x64、ARMアーキテクチャのUnix系システム向けに設計されたGo言語ベースのマルウェアファミリーが紹介されていました。このマルウェアは、コマンドアンドコントロール用のIRCボットを展開し、永続的なリモートアクセス用のWebシェルをインストールし、ブルートフォースモジュールを取得して追加の脆弱なホストをスキャンしていました。

2025 年 9 月までに、研究者らは、ボットネットの一部が別のマルウェア株である SystemBC と連携して動作していることを発見しました。これは、共有インフラストラクチャまたは協調制御を示唆しています。

2025年半ばは、技術面で大きな飛躍を遂げた年でした。アナリストは、Go言語で書き直された高度に難読化されたIRCボット、強化された永続化メカニズム、プロセスマスキング機能、そしてオンデマンドで更新可能な動的に管理される認証情報リストを備えた、より高度な亜種を特定しました。

AIと開発者の習慣によって形成される資格情報戦略

このマルウェアのブルートフォース攻撃コンポーネントは、「myuser:Abcd@123」や「appeaser:admin123456」といった、よく使われるユーザー名とパスワードの厳選された組み合わせを利用しています。これらはランダムに選択されたものではありません。多くはデータベースのチュートリアル、ホスティングドキュメント、ベンダーの事例など、大規模な言語モデル学習コーパスに広く取り込まれている資料に由来しています。その結果、AIツールは生成した設定スニペットで同じデフォルト設定を頻繁に再現し、意図せずして複数のデプロイメントにわたって脆弱な認証情報を標準化してしまうことになります。

ローテーション内の追加のユーザー名は、暗号通貨ワークフローを参照します (「cryptouser」、「appcrypto」、「crypto_app」、「crypto」など)。または、特に「root」、「wordpress」、「wpuser」などの phpMyAdmin 環境を対象としています。

攻撃者は各キャンペーンごとに比較的小規模で安定したパスワードプールを維持し、そのベースからタスクごとのリストを更新しながら、ユーザー名と特定の攻撃者向けの追加情報を週に複数回ローテーションさせます。FTP攻撃は異なる方法で処理されます。ブルートフォーサーバイナリには、デフォルトのウェブホスティングスタックとサービスアカウントに厳密にマッピングされたハードコードされた認証情報セットが含まれています。

感染チェーンとボットネットの機能

観察されている侵入は、ほとんどの場合、XAMPPサーバー上のインターネットに公開されたFTPサービスから始まります。アクセスが確立されると、攻撃者はPHPウェブシェルをアップロードします。そして、このシェルは、ホストのアーキテクチャに合わせて調整されたシェルスクリプトを介して、更新されたIRCボットを取得・実行するために利用されます。

侵害を受けた後、感染したシステムはいくつかの方法で再利用される可能性があります。

• ブルートフォースモジュールを実行し、インターネット上の FTP、MySQL、PostgreSQL、phpMyAdmin サービスに対してログインを試みます。
• 新たに侵害されたマシンに悪意のあるペイロードをホストして配布します。
• IRC スタイルのコマンド アンド コントロール エンドポイントを提供するか、ボットネットの耐性を向上させるフォールバック C2 サーバーとして機能します。

ブロックチェーンに焦点を当てた事業の直接的な証拠

さらなる調査の結果、少なくとも1台の侵害されたサーバーが、TRONブロックチェーンアドレスのリストを反復処理するように設計された特殊なモジュールを実装していることが明らかになりました。マルウェアは、公開されているtronscanapi.comサービスを利用してアカウント残高を照会し、残高がゼロでないウォレットを特定していました。この機能は、単なる便乗スキャンではなく、ブロックチェーンプロジェクトや暗号資産関連インフラを狙った意図的な偵察行為であることを強く示唆しています。

守備側にとっての永続的な教訓

GoBruteforcerは、より広範かつ進行中のセキュリティ上の欠陥を如実に物語っています。それは、無防備なサービス、脆弱または使い古された認証情報、そしてますます自動化が進む攻撃ツールが危険な形で重なり合うことです。このボットネット自体は技術的に画期的なものではありません。しかし、その運営者は、パブリックインターネット上で依然としてアクセス可能な、設定ミスのあるサーバーの膨大な量から莫大な利益を得ています。

防御側にとって、このキャンペーンは、デフォルトの認証情報を削除し、管理インターフェースを制限し、レガシー スタックを廃止し、AI によって生成されたデプロイメント例を本番環境対応の構成ではなく信頼できない開始点として扱うという、よく知られた重要なメッセージを強調しています。