GreyNoise が RDP サービスを攻撃する 100k IP ボットネットを検出

米国では、100,000 を超える IP アドレスからなるボットネットを利用したリモート デスクトップ プロトコル (RDP) サービスを標的とした大規模なキャンペーンが行われています。この活動は 10 月 8 日に始まり、脅威監視プラットフォーム GreyNoise の研究者らは、攻撃は複数の国にまたがるボットネットから発生したものであると考えています。 RDP は、Windows システムのリモート接続と制御を可能にするネットワーク プロトコルで、システム管理者、ヘルプデスク スタッフ、およびリモート従業員によって一般的に使用されます。攻撃者は、ブルート フォース ログインを実行したり、脆弱性を悪用したり、その他の攻撃を実行したりするために、開いている RDP ポートを頻繁にスキャンします。 GreyNoise の研究者は、ボットネットが 2 つの特定の RDP 関連の攻撃手法を使用していることを特定しました。 1 つ目は、RD Web アクセス タイミング攻撃です。この攻撃では、ボットネットがエンドポイントを調査し、匿名認証中にサーバーの応答時間の差を測定して、有効なユーザー名を推測します。 2 番目の方法は、RDP Web クライアントのログイン列挙です。これは、ログイン プロセスと対話して、さまざまなサーバーの動作と応答を観察することでユーザー アカウントを識別します。このキャンペーンは、ブラジルからのトラフィックが異常に急増した後に初めて検出されました。その後、アルゼンチン、イラン、中国、メキシコ、ロシア、南アフリカ、エクアドルなど他の国々からも活動が現れました。 GreyNoise によると、ボットネットを形成する侵害されたデバイスは 100 か国以上に存在します。技術分析の結果、攻撃している IP アドレスのほぼすべてが共通の TCP フィンガープリントを共有していることが判明しました。最大セグメント サイズのわずかな変動は、ボットネット内の異なるクラスターによって引き起こされると考えられます。この脅威を軽減するために、GreyNoise は、システム管理者が特定された攻撃 IP アドレスをブロックし、不審な RDP プローブの兆候がないかシステム ログを確認することを推奨しています。セキュリティのベスト プラクティスとして、組織は RDP サービスをパブリック インターネットに直接公開しないことをお勧めします。仮想プライベート ネットワーク (VPN) を実装し、多要素認証 (MFA) を要求すると、このような攻撃に対する追加の保護層を提供できます。

Source: GreyNoise が RDP サービスを攻撃する 100k IP ボットネットを検出