تستهدف موجة جديدة من هجمات البرامج الضارة لشبكة الروبوتات GoBruteforcer قواعد بيانات العملات المشفرة ومشاريع blockchain على الخوادم المكشوفة التي يُعتقد أنه تم تكوينها باستخدام أمثلة تم إنشاؤها بواسطة الذكاء الاصطناعي.
يُعرف GoBrutforcer أيضًا باسم GoBrut. إنها شبكة الروبوتات المستندة إلى Golang والتي تستهدف عادةً خدمات FTP وMySQL وPostgreSQL وphpMyAdmin المكشوفة.
تعتمد البرامج الضارة غالبًا على خوادم Linux المخترقة لفحص عناوين IP العامة العشوائية وتنفيذ هجمات تسجيل الدخول الغاشمة.
“https://www.bleepstatic.com/c/w/wiz/MCP-Research-Guide-970×250.png” البديل=”Wiz”>
استغلال الدفاعات الضعيفة
يقدر باحثو Check Point أن هناك أكثر من 50000 خادم متصل بالإنترنت قد تكون عرضة لهجمات GoBrut.
يقولون أنه يتم الحصول على التسوية الأولية غالبًا من خلال خوادم FTP على الخوادم التي تقوم بتشغيل XAMPP لأن التكوين يحتوي في كثير من الأحيان على كلمة مرور افتراضية ضعيفة، ما لم يمر المسؤول بتكوين الأمان.
“When attackers obtain access to XAMPP FTP using a standard account (commonly daemon or nobody) and a weak default password, the typical next step is to upload a web shell into the webroot,” نقطة التفتيش
قد يقوم المهاجم بتحميل هيكل الويب من خلال وسائل أخرى، مثل خادم MySQL الذي تم تكوينه بشكل خاطئ أو لوحة phpMyAdmin. تستمر سلسلة العدوى مع أداة التنزيل، وجلب روبوت IRC، ووحدة Bruteforcer.
يبدأ نشاط البرامج الضارة بعد تأخير قدره 10-400 ثانية، حيث يتم إطلاق ما يصل إلى 95 سلسلة ترابط على بنيات x86_64، ومسح نطاقات IP العامة العشوائية، مع تخطي الشبكات الخاصة، ونطاقات سحابة AWS، والشبكات الحكومية الأمريكية.
يقوم كل عامل بإنشاء عنوان IPv4 عام عشوائي واحد، ويتحقق من منفذ الخدمة ذي الصلة، ويمر عبر قائمة بيانات الاعتماد المتوفرة، ثم يخرج. يتم إنتاج العمال الجدد بشكل مستمر للحفاظ على مستوى التزامن المحدد.
تعتمد وحدة FTP على قائمة مضمنة مكونة من 22 زوجًا من اسم المستخدم وكلمة المرور المضمنة مباشرة في الملف الثنائي. ترتبط بيانات الاعتماد هذه بشكل وثيق بالحسابات الافتراضية أو المنشورة بشكل شائع في مجموعات استضافة الويب مثل XAMPP.
المصدر: نقطة التفتيش
تقول Check Point أنه في الحملات الأخيرة، يتم تغذية نشاط GoBruteforcer من خلال إعادة استخدام مقتطفات تكوين الخادم الشائعة التي تم إنشاؤها بواسطة نماذج اللغة الكبيرة (LLMs)، مما يؤدي إلى انتشار أسماء المستخدمين الافتراضية الضعيفة والتي يمكن التنبؤ بها، مثل com.appuser, com.myuser، و مشغل.
تظهر أسماء المستخدمين هذه بشكل متكرر في تعليمات Docker وDevOps التي ينشئها الذكاء الاصطناعي، مما دفع الباحثين إلى الاعتقاد بأن التكوينات قد تمت إضافتها إلى أنظمة العالم الحقيقي، مما يجعلها عرضة لهجمات رش كلمة المرور.
الاتجاه الثاني الذي يغذي حملة الروبوتات الأخيرة هو مجموعات الخوادم القديمة مثل XAMPP التي تستمر في الشحن باستخدام بيانات الاعتماد الافتراضية وخدمات FTP المفتوحة. تكشف عمليات النشر هذه أدلة webroot الضعيفة، مما يمكّن المهاجمين من إسقاط أغطية الويب.
يسلط تقرير Check Point الضوء على حملة أصيب فيها مضيف مخترق بأدوات مسح محفظة TRON التي تقوم بعمليات مسح عبر TRON وBinance Smart Chain (BSC). استخدم المهاجمون ملفًا يحتوي على ما يقرب من 23000 عنوان TRON، واستهدفوهم بأدوات مساعدة آلية لتحديد واستنزاف المحافظ ذات الأرصدة غير الصفرية.
يجب على المسؤولين الذين يدافعون ضد GoBruteforcer تجنب استخدام أدلة النشر التي أنشأها الذكاء الاصطناعي والاعتماد على أسماء مستخدمين غير افتراضية بكلمات مرور قوية وفريدة من نوعها.
يوصى أيضًا بالتحقق من خدمات FTP وphpMyAdmin وMySQL وPostgreSQL بحثًا عن الخدمات المكشوفة، واستبدال مجموعات البرامج القديمة مثل XAMPP ببدائل أكثر أمانًا.
ورقة الغش الخاصة بأسرار الأمن: من الامتداد إلى السيطرة
سواء كنت تقوم بتنظيف المفاتيح القديمة أو إعداد حواجز الحماية للتعليمات البرمجية التي تم إنشاؤها بواسطة الذكاء الاصطناعي، فإن هذا الدليل يساعد فريقك على البناء بشكل آمن من البداية.
احصل على ورقة الغش وتخلص من التخمين بشأن إدارة الأسرار.