В списке целей ботнета GoldBrute более 1,5 млн хостов

Зомби-сеть использует распределенную брутфорс-атаку, чтобы получить доступ к компьютеру через удаленный рабочий стол.

Ботнет GoldBrute атакует хосты с открытым RDP-доступом и угрожает более чем 1,5 млн устройств. К такому выводу пришли ИБ-специалисты, которым удалось изучить код вредоносной программы и результаты сканирования потенциально уязвимых портов, а также список логинов и паролей для брутфорс-нападения. Наибольшее количество целей находится в странах Юго-Восточной Азии, США и Европе.

Как утверждают исследователи, ботнет сканирует Интернет в поиске открытых RDP-портов и пытается подобрать учетные данные администратора при помощи credential stuffing или же перебором из собственной базы слабых паролей. Получив доступ к уязвимой машине, GoldBrute устанавливает WebSocket-соединение с командным сервером через порт 8333. Адрес хоста жестко задан в коде клиента, а канал зашифрован при помощи алгоритма AES.

Зловред загружает на целевое устройство архив размером около 80 Мб с основным скриптом GoldBrute и Java-оболочкой для его исполнения. После распаковки вредоносная программа получает имя bitcoin.dll, хотя на самом деле является JAR-объектом. Далее бот приступает к поиску новых целей и передает на командный сервер адреса потенциально уязвимых компьютеров.

Как только клиент находит 80 машин с открытыми RDP-портами, центр управления объединяет их в пул целей для проведения атаки. Для обхода систем безопасности проверка одной пары «логин + пароль» для каждого IP проводится с уникального адреса, принадлежащего зараженному устройству.

Исследователи не сообщают об иных деструктивных действиях, которые выполняет зловред. Ботнет находится в стадии роста — по информации ИБ-специалистов, в его базе сейчас находится более 1,5 млн доступных для атаки хостов. Не исключено, что зараженные машины в дальнейшем будут использованы для новых вредоносных кампаний.

На прошлой неделе аналитики рассказали, как киберпреступники могут взломать компьютер через RDP-протокол и авторизоваться на нем с правами текущего пользователя. По информации специалистов, при кратковременном разрыве соединения с хостом система автоматически восстановит сеанс, однако снимет при этом экран блокировки. Недостаток проявляется при использовании NLA-аутентификации, рекомендованной Microsoft как один из способов смягчения уязвимости BlueKeep.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля