Hệ thống Botnet mới nhắm mục tiêu hơn 1,5 triệu máy chủ RDP trên toàn thế giới để tấn công Brute-Force

GoldBrute - một chiến dịch tấn công brute-force sử dụng mạng lưới Botnet vừa mới được các nhà nghiên cứu bảo mật phát hiện đang nhắm mục tiêu vào hơn 1,5 triệu máy chủ Windows RDP có thể được truy cập công khai trên Internet

Hệ thống Botnet mới nhắm mục tiêu hơn 1,5 triệu máy chủ RDP trên toàn thế giới để tấn công Brute-Force - CyberSec365.org

Cụ thể, nhằm lẩn trốn các radar bảo mật, chiến dịch GoldBrute sử dụng mỗi máy trong hệ thống botnet tiến hành tấn công brute-force đến hàng triệu máy chủ với một vài username và password cố định. Với phương thức này, mỗi máy chủ bị tấn công brute-force bởi hàng trăm triệu máy tính đến từ hàng trăm triệu địa chỉ IP khác nhau.

Chiến dịch, được phát hiện bởi Renato Marinho tại Morphus Labs, hoạt động như thể hiện trong hình ảnh minh họa, và modus operandi của nó đã được giải thích trong các bước sau:

Hệ thống Botnet mới nhắm mục tiêu hơn 1,5 triệu máy chủ RDP trên toàn thế giới để tấn công Brute-Force - CyberSec365.org

Bước 1 - Sau khi brute-forcing thành công một máy chủ RDP, kẻ tấn công cài đặt phần mềm độc hại JAVA GoldBrute trên máy.

Bước 2 - Để kiểm soát các máy bị nhiễm, kẻ tấn công sử dụng máy chủ chỉ huy và kiểm soát tập trung (C&C), cố định để trao đổi các lệnh và dữ liệu qua kết nối WebSocket được mã hóa AES.

Bước 3 và 4 - Mỗi máy bị nhiễm sau đó nhận nhiệm vụ đầu tiên là quét và báo cáo lại danh sách ít nhất 80 máy chủ RDP mới có thể truy cập công khai có thể bị brute-forced.

Bước 5 và 6 - Kẻ tấn công sau đó gán cho mỗi máy bị nhiễm với một nhóm kết hợp tên người dùng và mật khẩu duy nhất làm nhiệm vụ thứ hai, buộc chúng phải sử dụng danh sách đó để tiến hành tấn công brute-force các mục tiêu RDP mà hệ thống bị nhiễm liên tục nhận được từ máy chủ C&C.

Bước 7 - Khi thử thành công, máy bị nhiễm báo cáo lại thông tin đăng nhập cho máy chủ C&C

Tại thời điểm này, không rõ chính xác có bao nhiêu máy chủ RDP đã bị xâm nhập và tham gia vào các cuộc tấn công brute-force chống lại các máy chủ RDP khác trên Internet.

Hệ thống Botnet mới nhắm mục tiêu hơn 1,5 triệu máy chủ RDP trên toàn thế giới để tấn công Brute-Force - CyberSec365.org

Tại thời điểm viết bài, một tìm kiếm nhanh của Shodan cho thấy khoảng 2,4 triệu máy chủ Windows RDP có thể được truy cập trên Internet và có lẽ hơn một nửa trong số đó đang hứng chịu những cuộc tấn công brute-force.

Remote Desktop Protocol (RDP) đang trở thành tâm điểm trong thời gian gần đây với hai lỗ hổng bảo mật mới, một trong số đó đã được vá bởi Microsoft và cái còn lại vẫn chưa được vá.

Được đặt tên là BlueKeep, lỗ hổng được vá (CVE-2019-0708) là một lỗ hổng nguy hiểm có thể cho phép kẻ tấn công từ xa kiểm soát các máy chủ RDP và nếu bị khai thác thành công, có thể gây ra sự tàn phá trên toàn thế giới, có khả năng tệ hơn nhiều so với những gì WannaCry và NotPetya thích các cuộc tấn công đã làm trong năm 2017.

Lỗ hổng chưa được vá nằm trong Windows có thể cho phép kẻ tấn công phía máy khách bỏ qua màn hình khóa trên các phiên máy tính để bàn từ xa (RD).

Nguồn: The Hacker News