أطلق باحثو الأمن السيبراني تحذيراً جديداً بشأن موجة من هجمات GoBruteforcer، وهو بوت نت يستهدف قواعد بيانات مشاريع العملات المشفرة وتقنيات البلوك تشين، عبر استغلال كلمات مرور ضعيفة وخدمات مكشوفة على خوادم لينكس.
كيف يعمل GoBruteforcer؟
الهجمات تركز على خدمات مثل FTP، MySQL، PostgreSQL، phpMyAdmin، حيث يقوم البوت نت بمحاولات تخمين كلمات المرور (Brute Force) للوصول إلى الأنظمة. وفقاً لتحليل شركة Check Point Research، فإن هذه الموجة مدفوعة بعاملين رئيسيين:
- إعادة استخدام واسعة لأمثلة نشر الخوادم المولدة بالذكاء الاصطناعي، والتي غالباً ما تحتوي على أسماء مستخدمين افتراضية وكلمات مرور ضعيفة.
- استمرار استخدام حزم ويب قديمة مثل XAMPP التي تكشف واجهات FTP والإدارة دون تحصين كافٍ.
تطور البرمجية الخبيثة
تم توثيق GoBruteforcer لأول مرة عام 2023 من قبل Palo Alto Networks Unit 42، حيث استهدف منصات شبيهة بـ Unix على معمارية x86 وx64 وARM، لنشر بوت IRC وقشرة ويب للتحكم عن بعد. لاحقاً، في 2025، رصدت Black Lotus Labs أن بعض الأجهزة المصابة ببرمجية SystemBC كانت جزءاً من شبكة GoBruteforcer.
الإصدارات الحديثة من البرمجية المكتوبة بلغة Golang أصبحت أكثر تعقيداً، مع تقنيات إخفاء العمليات، آليات بقاء محسنة، وقوائم ديناميكية لكلمات المرور. هذه القوائم تتضمن أسماء مستخدمين شائعة مثل root وwordpress، إضافة إلى أسماء مرتبطة بالعملات المشفرة مثل cryptouser وcrypto_app.
استغلال البنية المكشوفة
في الهجمات الأخيرة، استُخدم FTP مكشوف على خوادم XAMPP كنقطة دخول أولية، حيث رفع المهاجمون قشرة PHP، ثم حمّلوا نسخة محدثة من بوت IRC عبر سكربت يتوافق مع معمارية النظام. بعد إصابة الخادم، يمكن استخدامه في ثلاثة أدوار:
- تشغيل وحدة التخمين لكلمات المرور عبر الإنترنت.
- استضافة ونشر حمولة خبيثة إلى أنظمة أخرى.
- العمل كخادم تحكم بديل (C2) لضمان استمرارية الشبكة.
استهداف مشاريع البلوك تشين
أظهر تحليل إضافي أن أحد الخوادم المخترقة استُخدم لتشغيل وحدة تفحص عناوين شبكة TRON عبر خدمة tronscanapi.com، بهدف تحديد الحسابات ذات الأرصدة غير الصفرية. هذا يوضح أن الهجمات ليست عشوائية، بل تستهدف بشكل مباشر مشاريع العملات المشفرة.
مشكلة أوسع في البنية التحتية
يرى الباحثون أن GoBruteforcer يجسد مشكلة مستمرة: مزيج من البنية التحتية المكشوفة، كلمات المرور الضعيفة، وأدوات آلية متزايدة القوة. ورغم أن البوت نت نفسه بسيط تقنياً، إلا أن مشغليه يستفيدون من العدد الهائل للخدمات غير المهيأة بشكل صحيح على الإنترنت.
نشاط موازٍ يستهدف نماذج الذكاء الاصطناعي
إلى جانب ذلك، كشفت شركة GreyNoise أن جهات تهديدية تقوم بمسح منهجي للإنترنت بحثاً عن خوادم بروكسي غير مهيأة قد تمنح وصولاً إلى خدمات النماذج اللغوية التجارية (LLMs). بين أكتوبر 2025 ويناير 2026، استُغلت ثغرات SSRF لاستهداف وظائف سحب النماذج في Ollama وتكاملات Twilio SMS. كما رُصدت حملة واسعة منذ ديسمبر 2025 لمسح أكثر من 73 واجهة لنماذج شركات كبرى مثل OpenAI، Anthropic، Google، Meta، DeepSeek، Mistral، xAI، حيث وُثّق أكثر من 80 ألف جلسة خلال 11 يوماً.
