الصفحات
هجمات GoBruteforcer تستهدف مشاريع العملات المشفرة (50-60 حرف)
الأمن السيبراني #GoBruteforcer #البرمجيات_الخبيثة

هجمات GoBruteforcer تستهدف مشاريع العملات المشفرة (50-60 حرف)

منذ يوم 5 مشاهدة 0 تعليق 1 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
5 مشاهدة
0 إعجاب
234 تعليق
موثوق 95%

تستهدف موجة جديدة من هجمات البرمجيات الخبيثة GoBruteforcer قواعد بيانات مشاريع العملات المشفرة والبلوك تشين على خوادم مكشوفة يُعتقد أنها مُعدة باستخدام أمثلة مولدة بواسطة الذكاء الاصطناعي.

New GoBruteforcer attack wave targets crypto, blockchain projects
New GoBruteforcer attack wave targets crypto, blockchain projects

تُعرف GoBruteforcer أيضًا باسم GoBrut. هي شبكة بوت تعتمد على Golang وتستهدف عادةً خدمات FTP وMySQL وPostgreSQL وphpMyAdmin المكشوفة.

تعتمد البرمجيات الخبيثة غالبًا على خوادم Linux المخترقة لمسح عناوين IP العامة العشوائية وتنفيذ هجمات تسجيل الدخول باستخدام القوة الغاشمة.

استغلال الدفاعات الضعيفة

تقدر أبحاث Check Point أن هناك أكثر من 50,000 خادم متصل بالإنترنت قد يكون عرضة لهجمات GoBrut.

يقولون إن الاختراق الأولي غالبًا ما يتم من خلال خوادم FTP على الخوادم التي تعمل بنظام XAMPP، حيث أن العديد من الأحيان يكون التكوين يحتوي على كلمة مرور افتراضية ضعيفة، ما لم يقم المسؤول بإجراء تكوين أمني.

عندما يحصل المهاجمون على الوصول إلى FTP XAMPP باستخدام حساب قياسي (غالبًا daemon أو nobody) وكلمة مرور افتراضية ضعيفة، فإن الخطوة التالية المعتادة هي تحميل قشرة ويب إلى الجذر الويب.

يمكن أن يقوم المهاجم بتحميل قشرة الويب من خلال وسائل أخرى، مثل خادم MySQL غير مُكون بشكل صحيح أو لوحة phpMyAdmin. تستمر سلسلة العدوى مع مُحمّل، يجلب بوت IRC، ووحدة القوة الغاشمة.

تبدأ نشاطات البرمجيات الخبيثة بعد تأخير يتراوح بين 10-400 ثانية، حيث تطلق ما يصل إلى 95 خيطًا للقوة الغاشمة على بنى x86_64، مسح عناوين IP العامة العشوائية، مع تخطي الشبكات الخاصة ونطاقات سحابة AWS والشبكات الحكومية الأمريكية.

يعتمد نموذج FTP على قائمة مشفرة من 22 زوجًا من أسماء المستخدمين وكلمات المرور المدمجة مباشرة في الثنائي. تتطابق هذه الاعتمادات عن كثب مع الحسابات الافتراضية أو الشائعة في حزم استضافة الويب مثل XAMPP.

Infection chain
Infection chain
سلسلة عدوى GoBruteforcer
المصدر: Check Point

تقول Check Point إنه في الحملات الأخيرة، fueled نشاط GoBruteforcer من خلال إعادة استخدام مقتطفات تكوين الخادم الشائعة التي تم إنشاؤها بواسطة نماذج اللغة الكبيرة (LLMs)، مما يؤدي إلى انتشار أسماء مستخدمين افتراضية ضعيفة وقابلة للتنبؤ، مثل appuser وmyuser وoperator.

تظهر هذه الأسماء بشكل متكرر في تعليمات Docker وDevOps التي تم إنشاؤها بواسطة الذكاء الاصطناعي، مما يقود الباحثين للاعتقاد بأن التكوينات أُضيفت إلى أنظمة العالم الحقيقي، مما يجعلها عرضة لهجمات رش كلمات المرور.

الاتجاه الثاني الذي يغذي الحملة الأخيرة لشبكة البوت هو حزم الخوادم القديمة مثل XAMPP التي تستمر في الشحن مع اعتمادات افتراضية وخدمات FTP مفتوحة. تكشف هذه التوزيعات أدلة جذر ويب ضعيفة، مما يمكّن المهاجمين من إسقاط قشور الويب.

تسلط تقرير Check Point الضوء على حملة حيث تم إصابة مضيف مخترق بأدوات مسح محفظة TRON التي تقوم بعمليات مسح عبر TRON وBinance Smart Chain (BSC). استخدم المهاجمون ملفًا يحتوي على حوالي 23,000 عنوان TRON، مستهدفين إياهم باستخدام أدوات مؤتمتة لتحديد واستنزاف المحافظ ذات الرصيد غير الصفري.

يجب على المسؤولين الدفاع ضد GoBruteforcer تجنب استخدام أدلة النشر التي تم إنشاؤها بواسطة الذكاء الاصطناعي والاعتماد على أسماء مستخدمين غير افتراضية مع كلمات مرور قوية وفريدة.

يُنصح أيضًا بالتحقق من خدمات FTP وphpMyAdmin وMySQL وPostgreSQL المكشوفة، واستبدال حزم البرمجيات القديمة مثل XAMPP ببدائل أكثر أمانًا.

ورقة غش أمان الأسرار: من الفوضى إلى السيطرة

سواء كنت تقوم بتنظيف المفاتيح القديمة أو إعداد حواجز للأكواد التي تم إنشاؤها بواسطة الذكاء الاصطناعي، يساعدك هذا الدليل في بناء فريقك بشكل آمن من البداية.

احصل على ورقة الغش وأزل التخمين من إدارة الأسرار.

##GoBruteforcer ##البرمجيات_الخبيثة ##مشاريع_العملات_المشفرة

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!