CoinFubi

新一轮 GoBruteforcer 攻击瞄准加密货币和区块链项目的数据库，将它们招募进一个能够对 Linux 服务器上的 FTP、MySQL、PostgreSQL 和 phpMyAdmin 等服务的用户名密码进行暴力破解的僵尸网络。此轮行动由两大因素推动：一方面，大量重复使用 AI 生成的服务器部署模板，传播常见用户名和薄弱的默认设置；另一方面，像 XAMPP 这样的传统 Web 堆栈仍在使用，暴露 FTP 与管理员界面的同时，缺乏充分的加固。GoBruteforcer（又名 GoBrut）面向运行 x86、x64 和 ARM 的类 Unix 平台，部署 IRC 机器人和网页后门以实现远程访问，同时获取暴力破解模块以扫描易受攻击的系统并扩展僵尸网络。2025 年中期观察到的一个更为复杂的 GoBruteforcer 变体包括一个高度混淆的 IRC 机器人、增强的持久性、进程掩蔽，以及动态凭证列表。

凭证列表包含常见的用户名和密码，例如 myuser:Abcd@123 和 appeaser:admin123456，这些组合可用于远程登录。一些用户名与加密货币相关，包括 cryptouser、appcrypto、crypto_app 和 crypto，或针对 phpMyAdmin 面板如 root、wordpress 和 wpuser。攻击者在每次行动中重复使用一个小而稳定的密码池，从该池为每个任务刷新列表，并在每周多次轮换用户名和领域相关的新项，以追逐不同目标。FTP 暴力破解依赖于嵌入 bruteforcer 二进制中的一小组硬编码凭证，指向网页托管堆栈和默认服务账户。

在观察到的活动中，运行 XAMPP 的服务器上暴露在互联网上的 FTP 服务成为初始入侵向量，用于上传一个 PHP 网页后门，该后门再用于下载并执行更新版本的 IRC 机器人。一旦感染，僵尸网络可以运行暴力破解组件，在互联网上尝试 FTP、MySQL、Postgres 和 phpMyAdmin 的密码登录，将有效载荷托管到其他被入侵的系统，或托管 IRC 风格的控制端点，或作为弹性备份的 C2。一个被入侵的主机被用于搭建一个模块，该模块遍历 TRON 区块链地址列表并查询余额，以识别资金为非零的账户。GoBruteforcer 代表了一个更广泛的问题：暴露的基础设施、弱口令以及日益自动化的工具，使攻击者能够利用庞大的攻击面。