針對 Microsoft 遠程桌面協(xié)議 (RDP) 服務(wù)的大規(guī)模協(xié)調(diào)掃描活動���,威脅行為者部署了 30,000 多個唯一 IP 地址來探測 Microsoft RD Web Access 和 RDP Web 客戶端身份驗證門戶中的漏洞。
該活動是近年來觀察到的最大規(guī)模的協(xié)調(diào) RDP 偵察行動之一����,表明可能為大規(guī)?�;趹{據(jù)的攻擊做好準備���。
遠程桌面協(xié)議攻擊活動
掃描作于 2025 年 8 月 21 日開始����,涉及近 2,000 個 IP 地址����,同時針對 Microsoft RD Web Access 和 Microsoft RDP Web 客戶端服務(wù)���。
然而�����,該活動在 8 月 24 日急劇升級,當時安全研究人員檢測到 30,000 多個唯一 IP 地址使用相同的客戶端簽名進行協(xié)調(diào)探測����,這表明僵尸網(wǎng)絡(luò)基礎(chǔ)設(shè)施或協(xié)調(diào)工具集部署����。
GreyNoise 報告稱�,該攻擊方法側(cè)重于基于時序的身份驗證枚舉�����,這是一種利用服務(wù)器響應(yīng)時間的細微差異來識別有效用戶名而不觸發(fā)傳統(tǒng)暴力檢測機制的技術(shù)。
這種方法允許攻擊者為后續(xù)的撞庫和密碼噴灑作構(gòu)建全面的目標列表���,同時保持作隱蔽性�����。
網(wǎng)絡(luò)遙測分析顯示�,92% 的掃描基礎(chǔ)設(shè)施由先前分類的惡意 IP 地址組成�����,源流量嚴重集中在巴西(占觀察到的來源的 73%)�,同時專門針對位于美國的 RDP 端點�。
1,971 個初始掃描主機中 1,851 個的統(tǒng)一客戶端簽名模式表明����,高級持續(xù)威脅 (APT)作的典型集中式命令和控制基礎(chǔ)設(shè)施��。
以教育部門為目標
該活動的時間恰逢美國返校期間,教育機構(gòu)通常會為新生部署支持 RDP 的實驗室環(huán)境和遠程訪問系統(tǒng)���。
這個目標窗口具有重要的戰(zhàn)略意義�����,因為教育網(wǎng)絡(luò)通常會實施可預(yù)測的用戶名架構(gòu)(學(xué)生 ID���、firstname.lastname 格式)����,從而促進枚舉攻擊�����。
威脅行為者正在進行多階段偵察行動,首先識別暴露的 RD Web Access 和 RDP Web 客戶端端點��,然后測試身份驗證工作流程是否存在信息泄露漏洞��。
這種系統(tǒng)方法可以創(chuàng)建包含有效用戶名和可訪問端點的綜合目標數(shù)據(jù)庫����,以供未來的利用活動使用。
安全研究人員指出�,已觀察到相同的 IP 基礎(chǔ)設(shè)施對開放代理服務(wù)和網(wǎng)絡(luò)爬蟲作進行并行掃描���,這表明存在專為全面網(wǎng)絡(luò)偵察而設(shè)計的多用途威脅工具包��。
歷史分析表明,根據(jù)之前威脅情報研究中 80% 的相關(guān)率�,針對特定技術(shù)的協(xié)調(diào)掃描峰值通常在六周內(nèi)發(fā)現(xiàn)或利用零日漏洞之前出現(xiàn)����。
此次 RDP 掃描活動的規(guī)模和協(xié)調(diào)性代表了威脅行為者能力的顯著升級,可能表明正在為大規(guī)模勒索軟件部署����、憑據(jù)收集作或利用以前未知的 RDP 漏洞做好準備��。
運營 Microsoft RDP 服務(wù)的組織應(yīng)立即實施強化措施��,并使用已識別的客戶端簽名監(jiān)視后續(xù)利用嘗試。
閱讀原文:原文鏈接
該文章在 2025/9/4 13:14:08 編輯過
400 186 1886
