Morphus Labs виявив новий ботнет, що активно сканує Мережа на предмет погано захищених Windows-систем з активним підключенням по RDP
Morphus Labs виявив новий ботнет, що активно сканує Мережу на предмет погано захищених Windows-систем з активним підключенням по RDP
Фахівці Morphus Labs виявили новий ботнет, що активно сканує Мережу на предмет погано захищених Windows-систем з активним підключенням по RDP. В даний час у списку цілей ботнета, що отримав назву GoldBrute, числиться понад 1,5 млн систем, до яких він періодично намагається отримати доступ за допомогою брутфорсу або атак з підстановкою облікових даних (credential stuffing). За інформацією дослідників, найбільша кількість атакованих систем припадає на Південну Корею, Китай, Тайвань, США та Велику Британію.
Отримавши доступ до цільової системи, ботнет завантажує ZIP-архів зі шкідливим програмним забезпеченням GoldBrute, а потім проводить сканування інтернету на предмет нових вразливих комп'ютерів з підключенням по RDP. Зібравши список із 80 потенційних об'єктів, GoldBrute надсилає дані про їхні IP-адреси на керуючий сервер, звідки на інфікований ПК надсилається список IP-адрес, які потрібно атакувати.
Примітно, що для кожної IP-адреси передбачено лише одну комбінацію логін/пароль, причому для кожної мети використовуються різні облікові дані. Як вважають дослідники, таким чином оператори ботнета намагаються приховати свою діяльність від користувачів, які, напевно, помітять численні спроби авторизації. На завершальному етапі бот проводить брутфорс-атаку та відправляє результати C&C-серверу.
Поки що експерти не можуть сказати, яку мету переслідують зловмисники. Вони вважають, що оператори GoldBrute збирають ботнет для подальшого продажу доступу до нього на різних підпільних форумах.