เตือน ‘GoldBrute’ Botnet โจมตี Windows RDP กว่า 1.5 ล้านเครื่องแล้วด้วยการ Brute-force

นักวิจัยจาก Morphus Labs ได้เปิดเผยถึงแคมเปญของ Botnet ที่ชื่อ ‘GoldBrute’ ว่ามีการโจมตีเครื่อง Windows RDP ที่เข้าถึงได้ผ่านอินเทอร์เน็ตด้วยการ Brute-force โดยคาดว่ามีตัวเลขของเหยื่อที่ถูกโจมตีแล้วอย่างน้อย 1,596,571 เครื่องทั่วโลก

credit : zdnet

ขั้นตอนการปฏิบัติการของ Botnet มีดังนี้ (ดูรูปประกอบตามด้านบน)

  • ใช้การ Brute-force ผ่านอินเทอร์เน็ตเพื่อเข้าถึงเครื่อง Windows ที่เปิดใช้งาน RDP
  • เมื่อเข้าไปได้แล้วจะดาวน์โหลดไฟล์ ZIP นำมัลแวร์ GoldBrute เข้ามา
  • สแกนหาเครื่องอื่นที่ยังไม่ได้ติดมัลแวร์ (ไม่อยู่ในลิสต์รายชื่อที่ตนมี)
  • หากค้นหาเครื่องครบ 80 เครื่องแล้วจากส่งลิสต์ IP ออกไปยังเซิร์ฟเวอร์ควบคุม
  • เครื่องที่ติดมัลแวร์จะได้รับลิสต์ของ IP เพื่อใช้ช่วยกัน Brute-force ต่อไป โดยแต่ละ IP จะมีการทดลอง Authen ด้วยชื่อ Username และ Password เพียงครั้งเดียวเท่านั้น ทั้งนี้ Bot แต่ละตัวจะได้ Username และ Password ต่างกัน
  • Brute-force และรายงานผลกลับไปหาเซิร์ฟเวอร์ควบคุม

ปัจจุบันยังไม่สามารถประเมินภาพรวมการโจมตีของ GoldBrute ได้แต่คาดว่ามีเหยื่อไม่น้อยแล้วเนื่องจากการพบเหยื่อใหม่ค่อยๆ ลดลง (แต่ฐานที่ทำสำเร็จอาจเพิ่มขึ้น) นอกจากนี้การป้องกันยังทำได้ยากเพราะจากขั้นตอนจะเห็นว่า Bot ได้สลับกันโจมตีเพียงครั้งเดียวด้วย อย่างไรก็ตามแคมเปญนี้ยืนยันว่าแฮ็กเกอร์ยังคงใช้วิธีเดิมๆ ซึ่งมีสถิติจาก Bad Packets พบว่าการโจมตี RDP กว่า 96.6% คือการ Brute-force และ การใช้ช่องโหว่เก่า แต่มีข้อสังเกตคือ 3.4% เริ่มมีช่องโหว่ Bluekeep ปะปนมาแล้วนะครับ ดังนั้นสิ่งที่ทุกท่านต้องทำคืออัปเดตแพตช์อย่างล่าสุดและใช้รหัสผ่านที่แข็งแกร่งในการป้องกันด้วยนะครับ

ที่มา : https://www.zdnet.com/article/a-botnet-is-brute-forcing-over-1-5-million-rdp-servers-all-over-the-world/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

CrowdStrike เข้าซื้อกิจการ Adaptive Shield เสริมทัพด้านความปลอดภัยบน Cloud

CrowdStrike ประกาศเข้าซื้อกิจการ Adaptive Shield ผู้พัฒนาโซลูชันด้านความปลอดภัยสำหรับแอปพลิเคชัน Cloud มูลค่า 300 ล้านดอลลาร์ เพื่อเสริมความแข็งแกร่งในการปกป้องข้อมูลบน SaaS

ครั้งแรกในโลก! Google ใช้ Big Sleep AI ค้นพบช่องโหว่ความมั่นคงปลอดภัยใหม่ใน SQLite

Google เปิดเผยว่าสามารถค้นพบช่องโหว่ด้านความมั่นคงปลอดภัยใหม่ใน SQLite ด้วย AI โดยอ้างว่าเป็นครั้งแรกในโลก และอาจถือเป็นจุดเริ่มต้นของการใช้ AI เป็นด่านหน้าในการตรวจจับช่องโหว่เลยทีเดียว