Ботнет GoldBrute атакует хосты с открытым RDP-доступом и угрожает более чем 1,5 млн устройств. К такому выводу пришли ИБ-специалисты, которым удалось изучить код вредоносной программы и результаты сканирования потенциально уязвимых портов, а также список логинов и паролей для брутфорс-нападения. Наибольшее количество целей находится в странах Юго-Восточной Азии, США и Европе.

Как утверждают исследователи, ботнет сканирует Интернет в поиске открытых RDP-портов и пытается подобрать учетные данные администратора при помощи credential stuffing или же перебором из собственной базы слабых паролей. Получив доступ к уязвимой машине, GoldBrute устанавливает WebSocket-соединение с командным сервером через порт 8333. Адрес хоста жестко задан в коде клиента, а сообщения шифруются ключом AES.

Зловред загружает на целевое устройство архив размером около 80 Мб с основным скриптом GoldBrute и Java-оболочкой для его исполнения. После распаковки вредоносная программа получает имя bitcoin.dll, хотя на самом деле является JAR-объектом. Далее бот приступает к поиску новых целей и передает на командный сервер адреса потенциально уязвимых компьютеров.

Как только клиент находит 80 машин с открытыми RDP-портами, центр управления объединяет их в пул целей для проведения атаки. Для обхода систем безопасности проверка одной пары «логин + пароль» для каждого IP проводится с уникального адреса, принадлежащего зараженному устройству.

Исследователи не сообщают об иных деструктивных действиях, которые выполняет зловред. Ботнет находится в стадии роста — по информации ИБ-специалистов, в его базе сейчас находится более 1,5 млн доступных для атаки хостов. Не исключено, что зараженные машины в дальнейшем будут использованы для новых вредоносных кампаний.

На прошлой неделе аналитики рассказали, как киберпреступники могут взломать компьютер через RDP-протокол и авторизоваться на нем с правами текущего пользователя. По информации специалистов, при кратковременном разрыве соединения с хостом система автоматически восстановит сеанс, однако снимет при этом экран блокировки. Недостаток проявляется при использовании NLA-аутентификации, рекомендованной Microsoft как один из способов снижения вероятности атак BlueKeep.

Категории: Аналитика, Вредоносные программы, Главное