GoBruteforcerが暗号通貨プロジェクトを標的に攻撃

GoBruteforcerの脅威：暗号通貨・ブロックチェーン分野を標的

最近、GoBruteforcer と呼ばれるマルウェアが、暗号通貨およびブロックチェーン関連プロジェクトのデータベースを狙った攻撃で注目を集めている。
同マルウェアは、インターネットに公開された FTP、MySQL、PostgreSQL、phpMyAdmin などのサービスを主な標的とし、不正なログイン試行を通じて侵入を試みる点が特徴だ。

特に、AIが生成した設定例をそのまま用いて構築されたサーバーが狙われやすいとされている。
GoBruteforcerは Golang ベースのボットネットとして動作し、侵害したLinuxサーバーを踏み台にランダムなIPアドレスをスキャンしながら、ブルートフォース攻撃を継続的に実行する仕組みが確認されている。

脆弱な構成を狙う攻撃者の動向

Check Point の研究によると、インターネットに公開された 5万台以上のサーバー が、GoBruteforcerによる攻撃に対して脆弱である可能性が指摘されている。
中でも、XAMPP環境で稼働するサーバーのFTPサービスは、初期設定のまま弱い認証情報が使用されているケースが多く、初期侵入の主要な経路として悪用されているという。

攻撃者がXAMPPのFTPにアクセスすると、ウェブルートにウェブシェルをアップロードし、侵害後の操作を可能にする。
その後、IRCボットやブルートフォース用モジュールが追加でダウンロードされ、さらなる不正活動が展開される流れが確認されている。

攻撃の拡大と経済的動機

GoBruteforcerの活動は、AIによって生成されたサーバー設定コードの誤用により、さらに拡大している。
研究者らは、こうしたコードが実運用環境にそのまま適用されることで、予測しやすいユーザー名や脆弱な初期パスワードが設定され、攻撃の足掛かりになっていると指摘している。

攻撃者はまた、更新が行われていない古いサーバースタックや初期資格情報を悪用し、ウェブシェルを設置する手法によって侵害範囲を広げている。
これにより、侵入後の横展開や追加の不正活動が可能になる構成が確認されている。

特に、金銭的利益を目的とした攻撃が顕著で、TRON や Binance Smart Chain といったブロックチェーンネットワーク上のウォレットが主要な標的となっている。
攻撃者は、約2万3,000件のTRONアドレスを含むファイルを用いた自動化ツールを利用し、ウォレット残高を探索した上で資産の窃取を試みているという。

これらの攻撃は、個々の被害額が比較的少額にとどまる場合でも、脆弱性を継続的かつ大規模に悪用している点で、深刻な脅威とみなされている。

防御戦略と推奨される対策

管理者に対しては、AIが生成したデプロイメントガイドをそのまま使用することを避け、強力かつ一意なパスワードを設定した非初期ユーザー名を採用することが推奨されている。
あわせて、FTP、phpMyAdmin、MySQL、PostgreSQLといった管理系サービスがインターネットに露出していないかを点検し、XAMPPのような古いソフトウェアスタックについては、より安全な代替環境への移行を検討すべきだとされている。

こうした基本的なセキュリティ対策を徹底することが、GoBruteforcerのような自動化攻撃による侵害を防ぎ、暗号通貨関連プロジェクトを含むシステム全体のリスク低減につながると指摘されている。