GoBruteforcer殭屍網路鎖定Linux伺服器發動攻擊

名為 GoBruteforcer 的殭屍網路正在大規模攻擊暴露於網路上的 Linux 伺服器，透過暴力破解手法入侵 FTP、MySQL、PostgreSQL 和 phpMyAdmin 等常見服務。

資安業者 Check Point Research (CPR) 在 1 月 15 日發布的報告中估計，由於弱密碼和設定不當，超過 5 萬台公開存取的伺服器可能面臨風險。

GoBruteforcer 會將受害主機變成掃描和攻擊節點。一旦感染成功，這些伺服器就會被用來探測隨機 IP 範圍，並嘗試以常見的使用者名稱和密碼登入。攻擊者可能竊取資料、建立後門、轉售存取權限，或擴散殭屍網路。

這款惡意軟體最早在 2023 年被公開記錄，但研究人員在 2025 年中開始觀察到功能更強的變種。新版本完全使用 Go 語言撰寫，加入更複雜的混淆技術 (Obfuscation)、更強的持久性機制，以及用於偽裝惡意程序的技巧。

攻擊規模與目標特徵

目前這波攻擊活動由兩個趨勢推動：一是許多部署範例採用可預測的使用者名稱和弱預設值；二是持續使用 XAMPP 等舊版網頁伺服器套件。這些環境往往暴露 FTP 服務和管理介面，且缺乏安全強化措施。

CPR 研究人員指出，攻擊者並不使用零時差漏洞 ，而是反覆測試如 admin、password 等簡單憑證，或是在文件和教學中流傳多年的常見操作帳號。數百萬個資料庫和 FTP 伺服器仍可透過預設埠號存取，形成龐大的攻擊面 (Attack Surface)。即使成功率不高，但暴露系統的數量龐大，使得暴力破解攻擊在經濟上仍具吸引力。

GoBruteforcer 的攻擊活動每週輪替數次，攻擊重點也會改變。有些攻擊會對隨機 IP 位址噴灑常見使用者名稱，有些則更具針對性。研究人員觀察到的攻擊包括針對區塊鏈相關資料庫的加密貨幣主題帳號，以及與 WordPress 網站相關的 phpMyAdmin 面板。

金融動機與加密貨幣活動

在一台受害伺服器上，分析人員發現了以 Go 語言開發的工具，用於掃描 TRON 餘額並竊取 TRON 和幣安智能鏈 (Binance Smart Chain) 上的代幣。研究人員也發現一個包含約 2.3 萬個 TRON 位址的檔案，與殭屍網路元件放在同一處。

鏈上分析顯示，攻擊者控制的錢包中，至少部分金融攻擊確實得手，但多數受影響位址僅持有少量餘額。這些發現突顯一個持續存在的資安問題：暴露的服務、弱密碼和預設設定不斷為攻擊者提供可靠的入侵管道。

隨著生成式 AI 降低伺服器部署門檻，不安全預設值的風險可能隨之增加。應對這類威脅不僅需要偵測和清除行動，更需重新重視安全設定實務、憑證管理及持續的暴露管理。

本文轉載自 InfosecurityMagazine。