체크포인트의 새로운 연구에 따르면,dent가 낮고 AI가 생성한 암호화폐 및 블록체인 프로젝트 데이터베이스가 봇넷이 포착한 배포 패턴을 통해 해킹당하고 있습니다.
사이버 보안 업체에 따르면, GoBruteforcer라는 악성코드 봇넷이 리눅스 서버를 공격하여 자동화된 암호 크래킹 노드로 만들 수 있다고 합니다. 이 해킹 프로그램은 데이터베이스 서버, 파일 전송 서비스, 웹 관리 패널 등 암호화 프로젝트에서 사용하는 인프라에 영향을 미쳤습니다.
GoBrut은 인터넷에서 보안이 취약한 서비스를 검색하고, 흔히 사용되는 사용자 이름과 취약한 비밀번호를 이용해 해당 서비스에 로그인하려고 시도합니다. 시스템이 침해당하면, 해당 시스템은 해커 네트워크가 원격으로 접근할 수 있는 분산 네트워크에 추가됩니다.
GoBruteforcer 봇넷은 대충 만든 비밀번호도 해킹할 수 있습니다
발표된 체크포인트 보고서에 따르면 , 해당 봇넷은 FTP, MySQL, PostgreSQL, phpMyAdmin과 같은 서비스의 보안 시스템을 우회할 수 있습니다. 이러한 프로그램들은 블록체인 스타트업과 탈중앙화 애플리케이션 개발자들이 사용자 데이터, 애플리케이션 로직, 내부 대시보드를 관리하는 데 사용됩니다.
GoBrute가 해킹한 시스템은 명령 및 제어 서버로부터 명령을 받아 공격할 서비스를 지정하고 무차별 대입 공격에 필요한dent증명을 제공할 수 있습니다. 이렇게 노출된 로그인 정보는 다른 시스템에 접근하고, 개인 데이터를 훔치고, 숨겨진 계정을 생성하고, 봇넷의 영향력을 확대하는 데 재사용됩니다.
체크포인트는 감염된 호스트가 악성 페이로드를 호스팅하거나, 새로운 피해자에게 멀웨어를 배포하거나, 핵심 시스템에 장애가 발생할 경우 백업 제어 서버로 사용될 수도 있다고 언급했습니다.
마이크로소프트나 아마존 같은 대형 기술 기업을 포함한 많은 개발팀들이 이제는 대규모 언어 모델(LLM)에서 생성된 코드 조각이나 설정 가이드를 사용하거나 온라인 포럼에서 복사한 자료를 활용하고 있습니다.
체크포인트는 AI 모델이 새로운 비밀번호를 생성할 수 없고 일반적으로 학습된 내용을 모방하기 때문에 사용자 이름과 기본 비밀번호를 매우 예측 가능하게 시스템이 인터넷에 노출되기 전에 충분히 빠르게 변경하지 못한다고 설명했습니다.
XAMPP와 같은 기존 웹 스택을 사용하는 경우 문제는 더욱 심각해집니다. 이러한 스택은 기본적으로 관리 서비스를 노출시켜 해커에게 손쉬운 침입 경로를 제공할 수 있기 때문입니다.
Unit 42의 조사에 따르면 GoBruteforcer 캠페인은 2023년에 시작되었습니다
GoBruteforcer는 2023년 3월 Palo Alto Networks의 Unit 42에서 처음으로 문서화되었으며, 해당 문서에서는 이 악성 프로그램이 x86, x64 및 ARM 아키텍처의 유닉스 계열 시스템을 침해할 수 있는 능력을 자세히 설명했습니다. 이 악성 프로그램은 인터넷 릴레이 챗봇(IRC)과 웹 셸을 배포하며, 공격자는 이를 이용하여 원격으로 시스템에 접근합니다.
2025년 9월, 루멘 테크놀로지스의 블랙 로터스 랩 연구원들은 또 다른 멀웨어 계열인 SystemBC와 연관된 감염된 시스템 중 일부가 GoBruteforcer 노드이기도 하다는 사실을 발견했습니다. 체크포인트 분석가들은 공격에 사용된 암호 목록을 약 1천만 개의 유출된 자격dent데이터베이스와 비교한 결과 약 2.44%의 중복을 발견했습니다.
이러한 중복을 바탕으로, 그들은 수만 대의 데이터베이스 서버가 봇넷에서 사용된 암호 중 하나를 수용할 수 있다고 추정했습니다. 구글의 2024년 클라우드 위협 전망 보고서에 따르면, 취약하거나 누락된dent증명이 침해된 클라우드 환경에서 초기 접근 경로의 47.2%를 차지하는 것으로 나타났습니다.
블록체인과 AI 정찰이 개인 데이터를 노출시킨다는 연구 결과가 나왔습니다
GoBrute가 암호화폐 환경에서 trac된 사례에서는 네트워크 해커들이 블록체인 프로젝트의 명명 규칙과 일치하는 암호화폐 테마의 사용자 이름과 비밀번호 변형을 사용했습니다. 다른 공격 캠페인은 프로젝트 웹사이트 및 대시보드 서비스인 WordPress 사이트에 연결된 phpMyAdmin 패널을 표적으로 삼았습니다.
체크포인트는 "일부 작업은 분명히 특정 분야에 초점을 맞추고 있습니다. 예를 들어, cryptouser, appcrypto, crypto_app, crypto와 같은 암호화 관련 사용자 이름을 사용하는 공격을 관찰했습니다. 이러한 공격에서 사용된 암호는 일반적인 취약 암호 목록에 cryptouser1 또는 crypto_user1234와 같은 암호화 관련 추측 암호를 조합한 것이었습니다."라고 암호의 예를 들며 설명했습니다.
체크포인트는 TRON 블록체인 주소를 스캔하고 공개 블록체인 API를 통해 잔액을 조회하여 자금을 보유한 지갑을dent하는 모듈을 호스팅하는 데 사용된 서버가 해킹당한 것을dent.
보안 회사 측은 "노출된 인프라, 취약한dent, 그리고 점점 더 자동화되는 도구들이 결합되어 봇넷이 형성됩니다. 봇넷 자체는 기술적으로는 단순하지만, 운영자들은 온라인에 잘못 구성된 서비스가 많다는 점을 악용하고 있습니다."라고 밝혔습니다.
