متخصصین امنیت یک عملیات از نوع botnet را شناسایی کرده اند که مسئول حمله های brute-force به بیش از ۱.۵ میلیون RDP سرور قابل دسترس در اینترنت است.GoldBrute  با ماهیت botnet به گونه ای طراحی شده که با اضافه کردن هر سیستم جدیدی که مورد حمله قرار میگیرد وکرک میشود به شبکه خود گسترش می یابد و سیستم های اضافه شده را مجبور به پیدا کردن RDP سرور های جدید میکند تا روی آنها حمله Brute-force انجام دهد.

بدور از نظارت سیستم های امنیتی هکرهایی که پشت این عملیات هستند به هریک از سیستم های آلوده شده دستور می دهند که با استفاده از یک مجموعه منحصر بفرد از نام کاربری وپسورد میلیون ها سرور را هدف قرار دهند با این روش سرور های مورد هجوم حمله های brute-forceرا از جانب IP Adress های متفاوت دریافت می کنند.

این عملیات توسط Renato Marinho در موسسه  Morphus شناسایی شده ودر تصویر زیر سازوکار آن نشان داده شده.

مرحله ۱:

بعد از هک کردن یک RDP سرور به روش brute-force  مهاجم یک GoldBrute botnet  بر پایه جاوا را روی سیستم نصب میکند

مرجله ۲:

برای بدست گرفتن کنترل سیستم آلوده شده ،هکرها یک سرور ثابت ومرکزی را یه کار میگیرند تا از  طریق یک AES encrypted WebSocket connection بتوانند دستورات وداده ها را مبادله کنند.

مرحله ۳ و ۴:

هریک از سیستم های آلوده شده اولین ماموریت خود را دریافت میکنند ، اینکه یک لیست حداقل ۸۰ تایی از RDP سرور های قابل دسترس که می توانند مورد حمله brute-force قرار بگیرند را پیدا کند.

مرحله ۵ و ۶:

بعد از این به هریک از سیستم های آلوده شده یک مجموعه منحصر به فرد از نام کاربری و پسورد  داده میشود تا روی لیست های RDP سرور ها که مرتبا از سرور مرکزی ارائه می شوند ،اعمال کنند.

مرحله ۷:

سیستم آلوده شده اطلاعات ورودی که موفق بوده اند را به سرور مرکزی گزارش می دهد.

در حال حاضر مشخص نیست چه تعداد RDP سرور آلوده شده و در عملیات brute-force علیه سرور های دیگر در اینترنت به کار گرفته شده اند فقط با توجه به جستجو های انجام شده مشخص است که حدود ۲.۴ میلیون سرور windows RDP در اینترنت قابل دسترسی هستند واحتمالا بیش از نیمی از این تعداد مورد حمله brute-force قرار میگیرند.

Remote Desktop Protocol یا به اختصار RDP اخیرا به دلیل دو مورد آسیب پذیری در صدر اخبار قرار گرفته که یکی از موارد توسط مایکروسافت patch شد ودیگری همچنان بدون راه حل باقی مانده.مورد patch شده همان BlueKeep بود که قبلا در مورد آن توضیح داده بودیم این مورد آخر هنوز به صورت unpatched در ویندوز باقی مانده وبه مهاجمیم client-side این اجازه را میتواند بدهد تا به ارتباطات remote desktop نفوذ کنند.