Специалисты Morphus Labs новый ботнет, активно сканирующий Сеть на предмет плохо защищенных Windows-систем с активным подключением по RDP. В настоящее время в списке целей ботнета, получившего название GoldBrute, числится более 1,5 млн систем, к которым он периодически пытается получить доступ с помощью брутфорса или атак с подстановкой учетных данных (credential stuffing). По информации исследователей, наибольшее число атакованных систем приходится на Южную Корею, Китай, Тайвань, США и Великобританию.
Получив доступ к целевой системе, ботнет загружает ZIP-архив с вредоносным ПО GoldBrute, а затем проводит сканирование интернета на предмет новых уязвимых компьютеров с подключением по RDP. Собрав список из 80 потенциальных объектов, GoldBrute отправляет данные об их IP-адресах на управляющий сервер, откуда на инфицированный ПК отправляется список IP-адресов, которые нужно атаковать.
Примечательно, что для каждого IP-адреса предусмотрена только одна комбинация логин/пароль, причем для каждой цели используются разные учетные данные. Как полагают исследователи, таким образом операторы ботнета стараются скрыть свою деятельность от пользователей, которые наверняка заметят многочисленные попытки авторизации. На завершающем этапе бот проводит брутфорс-атаку и отправляет результаты C&C-серверу.
Пока эксперты не могут сказать, какую цель преследуют злоумышленники. Они полагают, что операторы GoldBrute собирают ботнет для дальнейшей продажи доступа к нему на различных подпольных форумах.