GoldBrute : le botnet qui s'attaque aux serveurs RDP exposés sur Internet

Nous essayerons ici de faire passer un maximum d’alertes de sécurité relatives au SIH, tous les types de cyber attaques
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 3676
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

GoldBrute : le botnet qui s'attaque aux serveurs RDP exposés sur Internet

Message par charles » 07 juin 2019 12:24

Morphus Labs a publié le 06/06/2019 un rapport très intéressant sur le botnet GoldBrute qui s'attaque en ce moment aux serveurs RDP exposés sur Internet, dont le fonctionnement est résumé avec ce schéma :

gold_brute.png

Chaque nouveau serveur compromis attaque à son tour à partir de la liste d'ip distribuée par le serveur C2.

Les indices de compromission sont les suivants :

Hash sha256 du fichier bitcoin.dll :

Code : Tout sélectionner

af07d75d81c36d8e1ef2e1373b3a975b9791f0cca231b623de0b2acd869f264e
Connexions au serveur C2 :

Téléchargement du ZIP :

Code : Tout sélectionner

104[.]248[.]167[.]144
Échanges chiffrés avec le C2 sur le port 8333 :

Code : Tout sélectionner

104[.]156[.]249[.]231
Source : https://morphuslabs.com/goldbrute-botne ... 1f219ec37d

Que dire mis à part, patchez vos serveurs et évitez d'exposer le service RDP sur Internet...
Vous n’avez pas les permissions nécessaires pour voir les fichiers joints à ce message.

Répondre

Retourner vers « Alertes de sécurité - Attaques et infections »