Globális támadásba lendült a GoldBrute botnet
A GoldBrute nevű botnet több millió számítógépet, illetve kiszolgálót veszélyeztet világszerte. Célpontban a távoli asztali szolgáltatásokat futtató rendszerek vannak.A kiberbűnözés tovább folytatja az RDP-alapú támadásait, és minél több távoli asztali szolgáltatást biztosító számítógépet igyekszik az irányítása alá vonni. Napjainkban az egyik legkiterjedtebb ilyen jellegű támadássorozat a GoldBrute névre keresztelt botnethez kapcsolódik, amelynek vizsgálatára Renato Marinho, a Morphus Labs biztonsági elemzője vállalkozott. Az elemzései során sok érdekesség derült ki a kártékony hálózatról.
A GoldBrute botnet számos országban ütötte már fel a fejét, és tulajdonképpen országtól függetlenül, minden olyan kiszolgálót igyekszik bekebelezni, amelyek nem megfelelően védett RDP-kapcsolatok kialakítását támogatják. A Shodan kereső szerint globális szinten 2,4 millió olyan gép érhető el, amelyek az internet felől lehetőséget adnak távoli asztali kapcsolatok létesítésére. Így tehát bőven van miből mazsolázniuk az elkövetőknek.
Forrás: Morphus Labs
A GoldBrute működésében alapvető szerepet kapó kártékony kód már meghackelt szervereken keresztül terjed. Amikor egy számítógép megfertőződik, akkor a károkozó rögtön nekilát további potenciális áldozatok felkutatásához. Amint legalább 80 darab - támadók számára kecsegtető - IP-címet összegyűjt, akkor felveszi a kapcsolatot az egyik vezérlőszerverével, és feltölti az IP-címeket. Mindezt titkosított módon, a 8333-as porton keresztül.
Érdekesség, hogy a GoldBrute kártevő telepítéséhez szükséges állomány 80 MB méretű, vagyis szokatlanul nagy. Ennek leginkább az az oka, hogy egy Java alapú ártalmas programról van szó, amelynek telepítője teljes egészében hordozza a futásához szükséges Java Runtime-ot is. A fertőzött rendszereken egy bitcoin.dll állomány segítségével kezd mesterkedni. Ez a DLL-fájl valójában egy JAR-állomány. Amint ez betöltődik, akkor elkezdi a vezérlőszerverről lekérdezni azokat az IP-címeket, amiket elosztott, brute force módszerrel támad a botnet. Egy-egy IP-cím mellé a vezérlőszerver egy felhasználónév/jelszó párost is küld a fertőzött PC-nek, amit az kipróbál.
Nem kis üzemben megy a károkozás
Marinho egy teszt rendszeren kipróbálta a kártékony programot, és azt tapasztalta, hogy hat óra alatt több mint egymillió IP-címet (felhasználónévvel és jelszóval) kapott a fertőzött számítógépe, amit - ha engedte volna - akkor végig is próbált volna a kártékony program.
Az egyelőre nem derült ki, hogy a GoldBrute által képviselt, egyre komolyabb erőforrásokat mire akarják majd felhasználni a támadók, mert jelenleg a kártékony kódjuk kizárólag az újabb számítógépek feltörésére alkalmas. Nem elképzelhetetlen, hogy a rendelkezésükre álló erőforrásokat az internetes feketepiacon fogják bérbe adni.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.