チェック・ポイント社の新たな調査によると、dentが弱く、AI で生成された暗号通貨やブロックチェーン プロジェクトのデータベースが、ボットネットによって拾われた展開パターンを通じてハッキングされているという。.
サイバーセキュリティ企業によると、「GoBruteforcer」と呼ばれるマルウェアボットネットは、Linuxサーバーに侵入し、自動パスワードクラッキングノードとして利用することができるという。このハッキングプログラムは、データベースサーバー、ファイル転送サービス、ウェブ管理パネルなど、暗号プロジェクトで使用されているインフラに影響を与えている。.
GoBrutはインターネットをスキャンし、セキュリティが不十分なサービスを探し出し、よく使われるユーザー名と脆弱なパスワードを使ってログインを試みます。システムが侵害されると、そのシステムは分散ネットワークに追加され、ハッカーネットワークからのリモートアクセスが可能になります。.
GoBruteforcerボットネットは、漠然と考えられたパスワードをハッキングできる
報告書によると 発表した 、このボットネットはFTP、MySQL、PostgreSQL、phpMyAdminといったサービスのセキュリティ対策をすり抜けることができるという。これらのプログラムは、ブロックチェーン関連のスタートアップ企業や分散型アプリケーション開発者が、ユーザーデータ、アプリケーションロジック、内部ダッシュボードなどを管理するために使用している。
GoBruteがハッキングしたシステムは、コマンド&コントロールサーバーからのコマンドを受け付け、攻撃対象のサービスを指示するとともに、dentフォース攻撃に必要な認証情報を提供します。漏洩したログイン情報は、他のシステムへのアクセス、個人情報の窃取、隠しアカウントの作成、そしてボットネットの攻撃範囲拡大に再利用されます。.
チェック・ポイント社はまた、感染したホストが悪意のあるペイロードをホストしたり、新たな被害者にマルウェアを配布したり、コアシステムがダウンした場合にバックアップ制御サーバーとして使用したりするために再利用される可能性もあると述べています。.
現在、Microsoft や Amazon などの大手テクノロジー企業を含む多くの開発チームが、大規模言語モデル (LLM) によって生成された、またはオンライン フォーラムからコピーされたコード スニペットとセットアップ ガイドを使用しています。.
チェック・ポイントは、AIモデルは新しいパスワードを作成できず、通常は教えられたパスワードを模倣するため、ユーザー名とデフォルトのパスワードが非常に 予測可能になり、システムがインターネットに公開される前に十分な速さで変更されないと説明した。
XAMPP などのレガシー Web スタックを使用すると、管理サービスがデフォルトで公開され、ハッカーにとって容易な侵入ポイントとなる可能性があるため、問題はさらに深刻になります。.
GoBruteforcerの攻撃キャンペーンは2023年に開始された、とUnit 42の調査で判明
GoBruteforcerは、2023年3月にPalo Alto NetworksのUnit 42によって初めて文書化され、Unix系システム(x86、x64、ARMアーキテクチャ)への侵入能力が詳細に報告されました。このマルウェアは、インターネットリレーチャット(IRC)ボットとWebシェルを展開し、攻撃者はこれらを利用してリモートアクセスを維持します。.
2025年9月、ルーメン・テクノロジーズのBlack Lotus Labsの研究者は、別のマルウェアファミリーであるSystemBCにリンクされた感染マシンの一部が、GoBruteforcerのノードでもあったことを発見しました。チェック・ポイントのアナリストは、攻撃に使用されたパスワードリストを、漏洩した約1,000万件の認証dentデータベースと比較したところ、約2.44%の重複を発見しました。.
この重複に基づき、ボットネットが使用するパスワードの1つを、数万台のデータベースサーバーが受け入れる可能性があると推定されました。Googleの2024年版クラウド脅威ホライズンレポートによると、侵害を受けたクラウド環境における初期アクセス経路の47.2%は、dent情報の脆弱性または欠落が原因でした。.
ブロックチェーンとAIによる偵察で個人データが流出、研究で判明
GoBruteが暗号通貨環境で tracされた事例では、ネットワークハッカーはブロックチェーンプロジェクトの命名規則に一致する暗号通貨をテーマにしたユーザー名とパスワードのバリエーションを使用していました。他のキャンペーンでは、プロジェクトのウェブサイトやダッシュボード用のサービスであるWordPressサイトにリンクされたphpMyAdminパネルが標的とされていました。.
「一部のタスクは明らかに特定の業界に特化しています。例えば、cryptouser、appcrypto、crypto_app、cryptoといった暗号をテーマにしたユーザー名を用いた攻撃を確認しました。これらの実行では、標準的な脆弱なユーザー名リストと、cryptouser1やcrypto_user1234といった暗号特有の推測値を組み合わせたパスワードが使用されていました」とCheck Pointはパスワードの例を挙げて述べています。.
Check Point は、 TRON ブロックチェーン アドレスをスキャンし、パブリック ブロックチェーン API を通じて残高をdentして資金を保有するウォレットを特定するモジュールをホストするために使用されている侵害されたサーバーを特定しdentた。.
「無防備なインフラ、脆弱なdent情報、そしてますます自動化されるツールの組み合わせです。ボットネット自体は技術的には単純ですが、運営者はオンライン上の設定ミスの多いサービスから利益を得ています」とセキュリティ企業は記しています。.
