Botnet GoldBrute sa snaží skúšaním hesiel dostať do 1,5 milióna RDP serverov

GoldBrute

Zdroj: Morphus Labs

Bezpečnostný výskumník Renato Marinho z Morphus Labs popisuje na svojom blogu nový botnet GoldBrute. Ako správne poznamenáva a ako to neustále spomíname v našich podcastoch, dávať Windows servery s RDP na internet nie je dobrý nápad. Nový botnet má zoznam 1,5 milióna RDP serverov a snaží sa hrubou silou hádať heslá do týchto systémov. Počet skenovaných IP adries postupne narastá.

Botnet je kontrolovaný jediným C&C (command and control) serverom s IP adresou (104[.]156[.]249[.]231). Komunikácia je zašifrovaná algoritmom AES a prebieha na porte 8333. Každý nakazený server skenuje náhodné IP adresy a hľadá obete s RDP. Nájdené IP adresy zašle na C&C server. Po nahlásení 80 nových IP adries, dostane bot od C&C servera IP adresy RDP serverov, na ktorých vyskúša jeden set mena a hesla. Toto je zrejme trik ako nevzbudiť podozrenie.

Ak sa bot dokáže prihlásiť na obeť, stiahne do systému 80MB zip súbor. Súbor obsahuje GoldBrute Java program a takisto Java runtime. Po rozbalení spustí jar súbor s názvom bitcoin.dll. Adresa C&C servera je natvrdo uvedená v kóde čo je jednoduchý, ale nie veľmi odolný spôsob voči eliminácii tohto servera.

Ak nás sledujete pravidelne tak viete, že v poslednej dobe sme písali a hovorili hlavne o chybe v RDP menom BlueKeep. Stále nevieme či táto chyba spôsobí problémy veľkého rozsahu. Ako je zrejmé z tohto prípadu, útočníci nečakajú a využívajú ten najjednoduchší spôsob ako ovládnuť RDP servery – hádanie prístupov hrubou silou. Prístupy do RDP serverov sa v digitálnom podsvetí bežne predávaju a nakupujú a botnet GoldBrute zrejme vznikol len na tento účel.

Obrázok: incident.sk

Facebook
Twitter
LinkedIn
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ

Cena ITAPA 2022 opäť hľadá najlepšie projekty

Cena ITAPA 2022 opäť hľadá najlepšie projekty v oblasti inovácií, digitalizácie a modernizácie spoločnosti Bratislava 4. októbra 2022 – ITAPA už po 21-krát vyhlasuje prestížnu súťaž Cena…