GoBruteforcer Botnetz nutzt schwache Passwörter für Angriffe auf Webserver

Anbieter zum Thema

Check Point Software Technologies GmbH

sysob IT-Distribution GmbH & Co. KG

Fsas Technologies GmbH

FTAPI Software GmbH

Ein neues, flexibles Botnetz namens „GoBruteforcer“ nutzt Check Point zufolge gezielt schwache Passwörter, um auf Linux-Webserver zuzugreifen und diese zu kompromittieren. Mit seiner modularen Struktur manipuliert es infizierte Systeme für Brute-Force-Angriffe und Datendiebstahl.

Das Forschungsteam von Check Point hat eine neue, scheinbar hochaktive Malware-Kam­pag­ne analysiert. „GoBruteforcer“ oder auch „GoBrut“ genannt, ist ein in der Programmiersprache Golang Go entwickeltes, modulares Botnetz, das systematisch öffentlich erreichbare Web- und Datenbank-Services angreife, hauptsächlich auf Linux-Servern. Die untersuchte Kampagne nutze weit verbreitete Benutzernamen sowie schwache Passwörter, die in vielen Server-Um­ge­bungen nach wie vor unverändertn im Einsatz seien.

Programmiersprache von Google

Schwachstellen in Golang Go bringen Anwendungen zum Absturz

Wie geht GoBruteforcer vor?

In ihrem Untersuchungsbericht schreiben die Forscher, dass GoBruteforacer kom­pro­mit­tier­te Linux-Server in Scanning- und Brute-Force-Knoten verwandle. Infizierte Hosts würden in das Botnetz integriert, würden Remote-Kommandos der Operatoren akzeptieren und für wei­te­re Scan- und Brute-Force-Aktivitäten genutzt. Neu entdeckte schwache Credentials würden dabei unter anderem zur Datenexfiltration, zum Anlegen von Backdoor-Accounts, zum Wei­ter­ver­kauf von Zugriffen und zur Expansion des Botnetzes missbraucht werden. Die Verbreitung erfolge typischerweise über eine Kette aus Webshell, Downloader, IRC-Bot (Internet Relay Chat) und Bruteforcer-Modul. Check Point Research schätzt, dass mehr als 50.000 öffentlich er­reich­ba­re Server weltweit potenziell für diese Art von Angriffen anfällig sein könnten.

Konkret operiere das Botnetz anhand dieser Schritte:

• 1. Das Botnetz scanne IP-Adressbereiche nach offen erreichbaren Diensten wie FTP, Datenbanken (MySQL/PostgreSQL) und Web-Panels wie phpMyAdmin.

• 2. Der C2-Server lege fest, welcher Service angegriffen wird, und übertrage für Brute-Force-Aufträge typischerweise eine Credential-Liste mit 200 Kombinationen aus Nutzername und Passwort. Innerhalb einer Kampagne würden diese Listen regelmäßig rotiert und pro Task neu aus einem vergleichsweise kleinen Pool schwacher Passwörter generiert. Allerdings unterscheide sich

• 3. FTP von den anderen Zielen. Hier nutze der GoBruteforcer einen kleinen, fest eingebetteten Credential-Satz, der auf typische Defaults oder Service-Accounts und Web-Hosting-Stacks, insbesondere XAMPP, hindeute.

• 4. Ein IRC-basierter Bot ermögliche die Command-and-Control-Kommunikation und Remote-Steuerung, während der Bruteforcer sowie ergänzende Scanner und Hilfsfunktionen ab­hängig von der jeweiligen Kampagne eingesetzt würden.

• 5. Erfolgreich kompromittierte Server würden in das Botnetz integriert und als Scanning- und Brute-Force-Knoten weiterverwendet. Dabei würden sie Remote-Kommandos der Op­erato­ren akzeptieren.

Das Gefährliche an GoBruteforce sei seine modulare Struktur, da diese das Botnetz besonders flexibel mache. Nach der Infektion seien Angreifer in der Lage, Systeme aus der Ferne zu steu­ern und könnten sie für großflächige Scan- und Passwortangriffe auf frei erreichbare Server nutzen. Die Forschenden hätten seit Mitte 2025 eine weiterentwickelte Version von GoBrute­force mit zusätzlichen Tarn- und Persistenzfunktionen beobachtet. Auffällig sei zudem der Fokus auf krypto- und blockchainbezogene Ziele. Eine Analyse von Blockchain-Transaktionen deute darauf hin, dass zumindest ein Teil der Angriffe erfolgreich gewesen sei. Da Web- und Datenbankserver häufig geschäftskritisch sind, würden dadurch Datenabfluss, unautorisierte Zugänge und Folgeschäden in nachgelagerten Systemen drohen.

IoT-Geräte gefährdet

Neue Mirai-Botnet-Variante entdeckt

Schutz vor GoBruteforcer

Die Entdeckung des Botnetzes verdeutlicht Check Point zufolge den anhaltenden Trend, dass Angreifende vorhersehbare Konfigurationen, exponierte Management- und Datenbank-In­terfaces sowie schwache Zugangsdaten in großen Maßstab ausnutzen. Besonders riskant seien dabei Umgebungen, in denen Beispielkonfigurationen unverändert übernommen würden oder Legacy-Stacks wie XAMPP mit FTP- beziehungsweise Admin-Oberflächen über das Internet erreichbar seien.

Für Unternehmen haben die Sicherheitsforschenden folgende Schutzmaßnahmen vor GoBruteforcer abgeleitet:

• Standard-Benutzernamen und -Passwörter sollten ausnahmslos ersetzt werden. Schwache oder bereits geleakte Passwörter sollten technisch unterbunden werden und User zur Neuerstellung aufgefordert werden.

• Datenbank- und Verwaltungsoberflächen sollten nicht direkt über das Internet erreichbar sein. Unnötige Services sollten geschlossen oder segmentiert werden.

• Ungewöhnliche Scan- und Login-Muster sollten frühzeitig erkannt und automatisiert geblockt werden.

• Beispiele aus Dokumentationen, Tutorials oder KI-Assistenten sollten grundsätzlich geprüft werden, gehärtetn und an interne Standards angepasst werden.

Aufbau eines Botnets?

Tausende Asus-Router durch Backdoor kompromittiert

(ID:50680589)