СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
14.10.2025
#ИБ#Инфра

Хакеры из 100 стран атакуют США через RDP — задействовано более 100 000 IP-адресов

Хакеры из 100 стран атакуют США через RDP — задействовано более 100 000 IP-адресов

Изображение: iStrfry , Marcus (unsplash)

ИБ-эксперты из GreyNoise зафиксировали крупную волну атак на службы удалённого рабочего стола (RDP), направленную на инфраструктуру в США. С начала октября ботнет, охватывающий более 100 000 IP-адресов, атакует открытые RDP-узлы, применяя методы интеллектуального зондирования и перебора учётных записей. Кампания отличается широкой географией и вовлечением заражённых устройств из более чем 100 стран.

RDP остаётся одним из наиболее уязвимых каналов для атак — протокол активно используется администраторами, техподдержкой и удалёнными сотрудниками для подключения к корпоративным и частным системам. При наличии открытого порта 3389 в интернете RDP становится удобной целью: злоумышленники часто сканируют адреса, подбирают пароли, используют недавние уязвимости или прибегают к тайминговым атакам.

В новом инциденте GreyNoise выделяет два механизма атаки:

  • Анализ временных параметров RD Web Access — злоумышленники инициируют поток анонимной аутентификации и измеряют различия во времени отклика. Это позволяет определять, существуют ли те или иные имена пользователей в системе.
  • Перечисление учётных записей через веб-клиент RDP — атакующие взаимодействуют с интерфейсом входа и анализируют поведение сервера при разных вариантах имени пользователя. Результаты указывают, зарегистрирована ли указанная учётная запись, что помогает точнее нацелить дальнейшие атаки.

Начало активности было зафиксировано 8 октября с IP-адресов, принадлежащих провайдерам в Бразилии, после чего всплески зафиксировали из Аргентины, Ирана, Китая, Мексики, России, Южной Африки, Эквадора и других регионов. Общая структура трафика указывает на координированное поведение заражённых устройств — несмотря на небольшие различия в параметрах, большинство IP-адресов обладают одинаковым TCP-отпечатком, характерным для одного ботнет-кластера.

В GreyNoise говорят, что эти атаки не нацелены на массовое шифрование или быстрое извлечение данных. Речь идёт о разведывательной активности, направленной на сбор информации о конфигурации, учётных данных и структуре удалённых служб, с последующим использованием этих сведений для компрометации критически важных систем.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: