🔒 Botnet GoBruteforcer nhắm mục tiêu máy chủ Linux

Một mạng botnet có tên GoBruteforcer đã tích cực nhắm mục tiêu vào các máy chủ Linux có kết nối internet, sử dụng các cuộc tấn công vũ phu quy mô lớn chống lại các dịch vụ phổ biến như FTP, MySQL, PostgreSQL và phpMyAdmin.

📋 Nội dung chi tiết

Trong một tư vấn mới được công bố hôm thứ Tư, Check Point Research (CPR) ước tính rằng hơn 50.000 máy chủ có thể truy cập công khai có thể dễ bị tấn công do thông tin xác thực yếu và phần mềm bị định cấu hình sai.

GoBruteforcer biến các máy bị xâm nhập thành các nút quét và tấn công. Sau khi bị nhiễm, các máy chủ này được sử dụng để thăm dò các dải IP ngẫu nhiên và thử đăng nhập bằng tên người dùng và mật khẩu phổ biến. Việc xâm phạm thành công có thể dẫn đến việc đánh cắp dữ liệu, tạo ra các cửa hậu, bán lại quyền truy cập hoặc phát tán botnet hơn nữa.

Phần mềm độc hại này lần đầu tiên được ghi nhận công khai vào năm 2023, nhưng các nhà nghiên cứu bắt đầu quan sát một biến thể có khả năng cao hơn vào giữa năm 2025. Phiên bản mới hơn được viết hoàn toàn bằng Go và giới thiệu khả năng che giấu mạnh mẽ hơn, tính bền bỉ mạnh mẽ hơn và các kỹ thuật được thiết kế để ngụy trang các quy trình độc hại trên máy chủ bị nhiễm.

Quy mô tấn công và nhắm mục tiêu

🔍 Thông tin bổ sung

Làn sóng hoạt động hiện tại đang được thúc đẩy bởi hai xu hướng hội tụ: tái sử dụng hàng loạt các ví dụ triển khai tiêu chuẩn dựa trên tên người dùng có thể dự đoán được và các giá trị mặc định yếu, cũng như việc tiếp tục sử dụng các ngăn xếp web cũ, chẳng hạn như XAMPP, thường khiến các dịch vụ FTP và bảng quản trị bị tăng cường bảo mật ở mức tối thiểu.

Đọc thêm về bảo mật máy chủ Linux: Đã phát hiện các lỗ hổng nghiêm trọng của Linux cho phép khai thác quyền truy cập root

Các nhà nghiên cứu của CPR lưu ý rằng những kẻ tấn công không dựa vào việc khai thác zero-day. Thay vào đó, họ liên tục kiểm tra các thông tin xác thực đơn giản như quản trị viên, mật khẩu hoặc tên người dùng hoạt động phổ biến đã lưu hành trong nhiều năm trong tài liệu và hướng dẫn.

Hàng triệu cơ sở dữ liệu và máy chủ FTP vẫn có thể truy cập được trên các cổng mặc định, tạo ra một bề mặt tấn công rộng lớn. Ngay cả với tỷ lệ thành công thấp, số lượng lớn các hệ thống bị lộ khiến các cuộc tấn công bạo lực trở nên hấp dẫn về mặt kinh tế.

🔍 Thông tin bổ sung

Các chiến dịch GoBruteforcer xoay vòng vài lần một tuần và có trọng tâm khác nhau. Một số chạy rải tên người dùng phổ biến trên các địa chỉ IP ngẫu nhiên, trong khi một số khác nhắm mục tiêu nhiều hơn. Các cuộc tấn công được quan sát bao gồm tên người dùng có chủ đề tiền điện tử nhằm vào cơ sở dữ liệu liên quan đến blockchain, cũng như bảng điều khiển phpMyAdmin thường được liên kết với các trang web WordPress.

Động cơ tài chính và hoạt động tiền điện tử

Trên một máy chủ bị xâm nhập, các nhà phân tích đã khôi phục các công cụ dựa trên Go được thiết kế để quét số dư TRON và quét mã thông báo trên TRON và Binance Smart Chain. Một tệp chứa khoảng 23.000 địa chỉ TRON cũng được tìm thấy cùng với các thành phần của mạng botnet.

Phân tích trực tuyến về các ví do kẻ tấn công kiểm soát chỉ ra rằng ít nhất một số cuộc tấn công có động cơ tài chính này đã thành công, mặc dù hầu hết các địa chỉ bị ảnh hưởng dường như chỉ giữ số dư nhỏ.

🔍 Thông tin bổ sung

Tuy nhiên, những phát hiện này nêu bật một vấn đề bảo mật dai dẳng. Các dịch vụ bị lộ, thông tin xác thực yếu và cấu hình mặc định tiếp tục cung cấp cho kẻ tấn công quyền truy cập đáng tin cậy.

CPR giải thích: “Khi AI tổng quát hạ thấp hơn nữa rào cản đối với việc triển khai máy chủ, nguy cơ mặc định không an toàn có thể sẽ tăng lên”.

📌 Kết luận

Đây là một sự kiện đáng chú ý trong lĩnh vực an ninh mạng. Người dùng và doanh nghiệp cần cập nhật các biện pháp bảo mật để bảo vệ hệ thống của mình.