นักวิจัยจาก Morphus Labs ได้เปิดเผยถึงแคมเปญของ Botnet ที่ชื่อ ‘GoldBrute’ ว่ามีการโจมตีเครื่อง Windows RDP ที่เข้าถึงได้ผ่านอินเทอร์เน็ตด้วยการ Brute-force โดยคาดว่ามีตัวเลขของเหยื่อที่ถูกโจมตีแล้วอย่างน้อย 1,596,571 เครื่องทั่วโลก
ขั้นตอนการปฏิบัติการของ Botnet มีดังนี้ (ดูรูปประกอบตามด้านบน)
- ใช้การ Brute-force ผ่านอินเทอร์เน็ตเพื่อเข้าถึงเครื่อง Windows ที่เปิดใช้งาน RDP
- เมื่อเข้าไปได้แล้วจะดาวน์โหลดไฟล์ ZIP นำมัลแวร์ GoldBrute เข้ามา
- สแกนหาเครื่องอื่นที่ยังไม่ได้ติดมัลแวร์ (ไม่อยู่ในลิสต์รายชื่อที่ตนมี)
- หากค้นหาเครื่องครบ 80 เครื่องแล้วจากส่งลิสต์ IP ออกไปยังเซิร์ฟเวอร์ควบคุม
- เครื่องที่ติดมัลแวร์จะได้รับลิสต์ของ IP เพื่อใช้ช่วยกัน Brute-force ต่อไป โดยแต่ละ IP จะมีการทดลอง Authen ด้วยชื่อ Username และ Password เพียงครั้งเดียวเท่านั้น ทั้งนี้ Bot แต่ละตัวจะได้ Username และ Password ต่างกัน
- Brute-force และรายงานผลกลับไปหาเซิร์ฟเวอร์ควบคุม
ปัจจุบันยังไม่สามารถประเมินภาพรวมการโจมตีของ GoldBrute ได้แต่คาดว่ามีเหยื่อไม่น้อยแล้วเนื่องจากการพบเหยื่อใหม่ค่อยๆ ลดลง (แต่ฐานที่ทำสำเร็จอาจเพิ่มขึ้น) นอกจากนี้การป้องกันยังทำได้ยากเพราะจากขั้นตอนจะเห็นว่า Bot ได้สลับกันโจมตีเพียงครั้งเดียวด้วย อย่างไรก็ตามแคมเปญนี้ยืนยันว่าแฮ็กเกอร์ยังคงใช้วิธีเดิมๆ ซึ่งมีสถิติจาก Bad Packets พบว่าการโจมตี RDP กว่า 96.6% คือการ Brute-force และ การใช้ช่องโหว่เก่า แต่มีข้อสังเกตคือ 3.4% เริ่มมีช่องโหว่ Bluekeep ปะปนมาแล้วนะครับ ดังนั้นสิ่งที่ทุกท่านต้องทำคืออัปเดตแพตช์อย่างล่าสุดและใช้รหัสผ่านที่แข็งแกร่งในการป้องกันด้วยนะครับ