GoBruteforcer Botnet brute-forces Passwords for FTP, MySQL, and phpMyAdmin on Linux Servers

GoBruteforcer ซึ่งเป็นบอตเน็ตที่พัฒนาด้วยภาษา Go กำลังพุ่งเป้าโจมตีเซิร์ฟเวอร์ Linux ทั่วโลกอย่างรุนแรง โดยใช้เทคนิค Brute-force ในการถอดรหัสผ่านที่อ่อนแอของบริการที่เปิดเผยต่ออินเทอร์เน็ต เช่น FTP, MySQL, PostgreSQL และ phpMyAdmin Check Point Research ได้บันทึกถึง GoBruteforcer สายพันธุ์ใหม่ปี 2025 ซึ่งมีการปรับปรุงทางเทคนิคที่สำคัญและได้บุกรุกเซิร์ฟเวอร์ไปแล้วหลายหมื่นเครื่อง โดยพบว่าบอตเน็ตนี้ใช้ปัจจัยสำคัญสองประการในการโจมตี: การนำชื่อผู้ใช้และรหัสผ่านเริ่มต้นที่อ่อนแอซึ่งมักพบในตัวอย่างการปรับใช้เซิร์ฟเวอร์ที่สร้างโดย AI กลับมาใช้ซ้ำ และความคงอยู่ของสแต็กเว็บแบบเก่าที่เปิดเผยบริการโดยมีการรักษาความปลอดภัยเพียงเล็กน้อย

Severity: วิกฤต

System Impact:

• เซิร์ฟเวอร์ Linux
• บริการ FTP
• บริการ MySQL
• บริการ PostgreSQL
• phpMyAdmin
• XAMPP installations

Technical Attack Steps:

1. การค้นหาและกำหนดเป้าหมาย: โจมตีเซิร์ฟเวอร์ Linux ที่เปิดเผยต่ออินเทอร์เน็ตซึ่งให้บริการ FTP, MySQL, PostgreSQL, phpMyAdmin และ XAMPP โดยหลีกเลี่ยงเครือข่ายส่วนตัว, ผู้ให้บริการคลาวด์ และ IP ของกระทรวงกลาโหมสหรัฐฯ
2. การเข้าถึงเริ่มต้น (Brute-forcing): ใช้การโจมตีแบบ Brute-force ด้วยรหัสผ่านที่อ่อนแอและชื่อผู้ใช้ทั่วไป (เช่น ‘appuser’, ‘myuser’) ที่มักพบในตัวอย่างการปรับใช้เซิร์ฟเวอร์ที่สร้างโดย AI
3. ห่วงโซ่การติดเชื้อ: ประกอบด้วยส่วนประกอบแบบโมดูลาร์ ได้แก่ web shells, downloaders, IRC bots และ bruteforcer
4. การรักษาความคงทนและการอำพราง: GoBruteforcer สายพันธุ์ปี 2025 มี IRC bot ที่เขียนใหม่ด้วยภาษา Go และถูกบดบังรหัสด้วย Garbler พร้อมใช้เทคนิค process-masking โดยเปลี่ยนชื่อ Process เป็น ‘init’ และเขียนทับ argv buffers เพื่อซ่อนอาร์กิวเมนต์ Command-line
5. การสื่อสาร C2 และการอัปเดต: บำรุงรักษาความยืดหยุ่นผ่านที่อยู่ C2 สำรองที่ถูก Hardcode, เส้นทางการกู้คืนผ่านโดเมน และความสามารถในการเลื่อนระดับโฮสต์ที่ติดเชื้อให้เป็น Node การกระจายหรือ IRC relays โมดูล IRC bot สามารถอัปเดตได้วันละสองครั้ง
6. การใช้งาน Payload (มุ่งเน้นคริปโตเคอร์เรนซี): มีการปรับใช้เครื่องมือ Go-based เพิ่มเติมบนโฮสต์ที่ถูกบุกรุก รวมถึง TRON balance scanner และ token-sweep utilities สำหรับ TRON และ Binance Smart Chain
7. ความสามารถในการสแกน: โฮสต์ที่ติดเชื้อสามารถสแกน IP ได้ประมาณ 20 IP ต่อวินาที โดยใช้แบนด์วิธต่ำ (ขาออก 64 kb/s, ขาเข้า 32 kb/s ระหว่างแคมเปญ FTP) และปรับขนาด Worker pools ตามสถาปัตยกรรม CPU

Recommendations:

Short Term:

• บังคับใช้มาตรการรหัสผ่านที่รัดกุมและซับซ้อนสำหรับทุกบริการ
• เปิดใช้งานและบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) ในทุกบัญชีที่เป็นไปได้
• ปิดใช้งานบริการที่เปิดเผยต่ออินเทอร์เน็ตที่ไม่จำเป็น เพื่อลด Surface โจมตี
• เฝ้าระวังการพยายามเข้าสู่ระบบที่น่าสงสัยและกิจกรรมที่ผิดปกติบนเซิร์ฟเวอร์อย่างใกล้ชิด

Long Term:

• อัปเดตแพตช์และอัปเกรดระบบปฏิบัติการและซอฟต์แวร์บริการทั้งหมด (FTP, MySQL, PostgreSQL, phpMyAdmin, XAMPP) อย่างสม่ำเสมอ
• ดำเนินการตั้งค่าความปลอดภัยและการ Hardening ที่ละเอียดถี่ถ้วนสำหรับบริการทั้งหมดที่เปิดเผยต่ออินเทอร์เน็ต โดยหลีกเลี่ยงการใช้รหัสผ่านเริ่มต้นหรือรหัสผ่านที่คาดเดาง่าย
• ใช้การแบ่ง Segment เครือข่าย (Network Segmentation) และการควบคุมการเข้าถึง (Access Control) เพื่อจำกัดการเคลื่อนที่ในแนวนอน (Lateral Movement) ของผู้โจมตี
• ติดตั้งและใช้งานระบบตรวจจับ/ป้องกันการบุกรุก (IDS/IPS) และระบบจัดการข้อมูลและเหตุการณ์ความปลอดภัย (SIEM) เพื่อการตรวจจับภัยคุกคามขั้นสูง
• ให้ความรู้แก่เจ้าหน้าที่ IT เกี่ยวกับแนวทางการพัฒนาและปรับใช้ที่ปลอดภัย โดยเน้นย้ำถึงอันตรายของการใช้ข้อมูลประจำตัวเริ่มต้นที่อ่อนแอและตัวอย่างการกำหนดค่าจากแหล่งข้อมูลสาธารณะ

Source: https://cybersecuritynews.com/gobruteforcer-botnet/