Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Зомби-сеть использует распределенную брутфорс-атаку, чтобы получить доступ к компьютеру через удаленный рабочий стол.
Ботнет GoldBrute атакует хосты с открытым RDP-доступом и угрожает более чем 1,5 млн устройств. К такому выводу пришли ИБ-специалисты, которым удалось изучить код вредоносной программы и результаты сканирования потенциально уязвимых портов, а также список логинов и паролей для брутфорс-нападения. Наибольшее количество целей находится в странах Юго-Восточной Азии, США и Европе.
Как утверждают исследователи, ботнет сканирует Интернет в поиске открытых RDP-портов и пытается подобрать учетные данные администратора при помощи credential stuffing или же перебором из собственной базы слабых паролей. Получив доступ к уязвимой машине, GoldBrute устанавливает WebSocket-соединение с командным сервером через порт 8333. Адрес хоста жестко задан в коде клиента, а канал зашифрован при помощи алгоритма AES.
Зловред загружает на целевое устройство архив размером около 80 Мб с основным скриптом GoldBrute и Java-оболочкой для его исполнения. После распаковки вредоносная программа получает имя bitcoin.dll, хотя на самом деле является JAR-объектом. Далее бот приступает к поиску новых целей и передает на командный сервер адреса потенциально уязвимых компьютеров.
Как только клиент находит 80 машин с открытыми RDP-портами, центр управления объединяет их в пул целей для проведения атаки. Для обхода систем безопасности проверка одной пары «логин + пароль» для каждого IP проводится с уникального адреса, принадлежащего зараженному устройству.
Исследователи не сообщают об иных деструктивных действиях, которые выполняет зловред. Ботнет находится в стадии роста — по информации ИБ-специалистов, в его базе сейчас находится более 1,5 млн доступных для атаки хостов. Не исключено, что зараженные машины в дальнейшем будут использованы для новых вредоносных кампаний.
На прошлой неделе аналитики рассказали, как киберпреступники могут взломать компьютер через RDP-протокол и авторизоваться на нем с правами текущего пользователя. По информации специалистов, при кратковременном разрыве соединения с хостом система автоматически восстановит сеанс, однако снимет при этом экран блокировки. Недостаток проявляется при использовании NLA-аутентификации, рекомендованной Microsoft как один из способов смягчения уязвимости BlueKeep.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |