Globális támadásba lendült a GoldBrute botnet

A GoldBrute nevű botnet több millió számítógépet, illetve kiszolgálót veszélyeztet világszerte. Célpontban a távoli asztali szolgáltatásokat futtató rendszerek vannak.
 
hirdetés

A kiberbűnözés tovább folytatja az RDP-alapú támadásait, és minél több távoli asztali szolgáltatást biztosító számítógépet igyekszik az irányítása alá vonni. Napjainkban az egyik legkiterjedtebb ilyen jellegű támadássorozat a GoldBrute névre keresztelt botnethez kapcsolódik, amelynek vizsgálatára Renato Marinho, a Morphus Labs biztonsági elemzője vállalkozott. Az elemzései során sok érdekesség derült ki a kártékony hálózatról.
 
A GoldBrute botnet számos országban ütötte már fel a fejét, és tulajdonképpen országtól függetlenül, minden olyan kiszolgálót igyekszik bekebelezni, amelyek nem megfelelően védett RDP-kapcsolatok kialakítását támogatják. A Shodan kereső szerint globális szinten 2,4 millió olyan gép érhető el, amelyek az internet felől lehetőséget adnak távoli asztali kapcsolatok létesítésére. Így tehát bőven van miből mazsolázniuk az elkövetőknek.


Forrás: Morphus Labs
 
A GoldBrute működésében alapvető szerepet kapó kártékony kód már meghackelt szervereken keresztül terjed. Amikor egy számítógép megfertőződik, akkor a károkozó rögtön nekilát további potenciális áldozatok felkutatásához. Amint legalább 80 darab - támadók számára kecsegtető - IP-címet összegyűjt, akkor felveszi a kapcsolatot az egyik vezérlőszerverével, és feltölti az IP-címeket. Mindezt titkosított módon, a 8333-as porton keresztül.
 
Érdekesség, hogy a GoldBrute kártevő telepítéséhez szükséges állomány 80 MB méretű, vagyis szokatlanul nagy. Ennek leginkább az az oka, hogy egy Java alapú ártalmas programról van szó, amelynek telepítője teljes egészében hordozza a futásához szükséges Java Runtime-ot is. A fertőzött rendszereken egy bitcoin.dll állomány segítségével kezd mesterkedni. Ez a DLL-fájl valójában egy JAR-állomány. Amint ez betöltődik, akkor elkezdi a vezérlőszerverről lekérdezni azokat az IP-címeket, amiket elosztott, brute force módszerrel támad a botnet. Egy-egy IP-cím mellé a vezérlőszerver egy felhasználónév/jelszó párost is küld a fertőzött PC-nek, amit az kipróbál.
 
Nem kis üzemben megy a károkozás
 
Marinho egy teszt rendszeren kipróbálta a kártékony programot, és azt tapasztalta, hogy hat óra alatt több mint egymillió IP-címet (felhasználónévvel és jelszóval) kapott a fertőzött számítógépe, amit - ha engedte volna - akkor végig is próbált volna a kártékony program.
 
Az egyelőre nem derült ki, hogy a GoldBrute által képviselt, egyre komolyabb erőforrásokat mire akarják majd felhasználni a támadók, mert jelenleg a kártékony kódjuk kizárólag az újabb számítógépek feltörésére alkalmas. Nem elképzelhetetlen, hogy a rendelkezésükre álló erőforrásokat az internetes feketepiacon fogják bérbe adni.
Vélemények
 
  1. 4

    A Webmin egy súlyos sebezhetőséget tartalmaz.

  2. 3

    A MyBB két biztonsági hibára kapott frissítést.

  3. 1

    A Whisperer trójai titkosítottan kommunikál a támadókkal, miközben teljesen kiszolgáltatottá teszi az általa megfertőzött PC-ket.

 
Partnerhírek
​Saját magát jelentette fel a holland adatvédelmi hatóság

A holland adatvédelmi hatóság ugyanazt a hibát követte el, amiből talán a leggyakoribb adatvédelmi incidens származik: másolatban, nem pedig titkos másolatban küldött ki egy körlevelet.

Másodszor is zsarolóvírusos támadás érte Baltimore városát

Vannak, akik nem tanulnak előző hibáikból, így van ez Baltimore városának esetében is, akinek számítógépjeit másodjára érte zsarolóvírusos támadás május elején. A hatóságok megelőzésképp lecsatolták a számítógépes rendszereket az internetről.

hirdetés
Közösség
1