Удар по RDP: 100 стран, 100 000 IP и одна цель — американская инфраструктура
NewsMakerХакеры обходят аутентификацию, используя всего лишь разницу во времени ответа сервера.
С начала октября специалисты GreyNoise фиксировали одну из самых масштабных и скоординированных атак на службы удалённого доступа в США. По их данным, с 8 октября 2025 года более 100 тысяч уникальных IP-адресов из сотни стран участвуют в автоматизированной кампании против инфраструктуры Remote Desktop Protocol (RDP) . Все задействованные узлы демонстрируют схожие сетевые признаки, что указывает на централизованное управление ботнетом.
Первыми признаки активности заметили по всплеску трафика из Бразилии, после чего анализ выявил аналогичные всплески в Аргентине, Иране, Китае, Мексике, Южной Африке и ряде других стран. При этом подавляющее большинство атак направлено исключительно на американские серверы, что делает кампанию максимально сфокусированной и технически согласованной.
По оценке GreyNoise, операторы ботнета применяют два метода — RD Web Access Timing Attack и RDP Web Client Login Enumeration. В первом случае злоумышленники анализируют различия во времени отклика при анонимной аутентификации, извлекая информацию о существовании учётных записей. Во втором — массово перебирают логины на веб-клиенте RDP, чтобы выявить активные имена пользователей. Оба подхода предназначены для подготовки к последующему подбору паролей и взлому систем, не ограничивая атаку географически.
Исследователи обратили внимание на то, что почти весь трафик имеет один и тот же TCP-отпечаток, отличающийся лишь параметром MSS, зависящим от конкретного кластера заражённых устройств. Это указывает на использование унифицированного программного компонента и централизованного механизма активации, управляющего распределением нагрузки между странами и временными интервалами. Таким образом, речь идёт не о спорадических сканах, а о полностью управляемой инфраструктуре, действующей как единая сеть.
Анализ подтверждает, что каждый IP участвовал в полном трёхстороннем рукопожатии с целевыми узлами, что исключает случайные или ложные соединения. Наиболее вероятно, что заражённые хосты принадлежат к ботнету с мультинациональной географией и координацией через общий командный центр. Переход активности от отдельных сегментов к глобальному распределению трафика произошёл в считанные дни, что говорит о заранее подготовленном сценарии.
GreyNoise рекомендует администраторам внимательно проверять журналы событий на наличие аномальных RDP-подключений и запросов на анонимную аутентификацию. Дополнительно компания советует отслеживать теги Microsoft RD Web Access Anonymous Authentication Timing Attack Scanner и Microsoft RDP Web Client Login Enumeration Check, которые связаны с этой кампанией.
Ситуация продолжает развиваться. По мере поступления новых данных GreyNoise обещает публиковать обновления и уточнённые сигнатуры, позволяющие точнее идентифицировать задействованные узлы и минимизировать риск компрометации корпоративных систем.
С начала октября специалисты GreyNoise фиксировали одну из самых масштабных и скоординированных атак на службы удалённого доступа в США. По их данным, с 8 октября 2025 года более 100 тысяч уникальных IP-адресов из сотни стран участвуют в автоматизированной кампании против инфраструктуры Remote Desktop Protocol (RDP) . Все задействованные узлы демонстрируют схожие сетевые признаки, что указывает на централизованное управление ботнетом.
Первыми признаки активности заметили по всплеску трафика из Бразилии, после чего анализ выявил аналогичные всплески в Аргентине, Иране, Китае, Мексике, Южной Африке и ряде других стран. При этом подавляющее большинство атак направлено исключительно на американские серверы, что делает кампанию максимально сфокусированной и технически согласованной.
По оценке GreyNoise, операторы ботнета применяют два метода — RD Web Access Timing Attack и RDP Web Client Login Enumeration. В первом случае злоумышленники анализируют различия во времени отклика при анонимной аутентификации, извлекая информацию о существовании учётных записей. Во втором — массово перебирают логины на веб-клиенте RDP, чтобы выявить активные имена пользователей. Оба подхода предназначены для подготовки к последующему подбору паролей и взлому систем, не ограничивая атаку географически.
Исследователи обратили внимание на то, что почти весь трафик имеет один и тот же TCP-отпечаток, отличающийся лишь параметром MSS, зависящим от конкретного кластера заражённых устройств. Это указывает на использование унифицированного программного компонента и централизованного механизма активации, управляющего распределением нагрузки между странами и временными интервалами. Таким образом, речь идёт не о спорадических сканах, а о полностью управляемой инфраструктуре, действующей как единая сеть.
Анализ подтверждает, что каждый IP участвовал в полном трёхстороннем рукопожатии с целевыми узлами, что исключает случайные или ложные соединения. Наиболее вероятно, что заражённые хосты принадлежат к ботнету с мультинациональной географией и координацией через общий командный центр. Переход активности от отдельных сегментов к глобальному распределению трафика произошёл в считанные дни, что говорит о заранее подготовленном сценарии.
GreyNoise рекомендует администраторам внимательно проверять журналы событий на наличие аномальных RDP-подключений и запросов на анонимную аутентификацию. Дополнительно компания советует отслеживать теги Microsoft RD Web Access Anonymous Authentication Timing Attack Scanner и Microsoft RDP Web Client Login Enumeration Check, которые связаны с этой кампанией.
Ситуация продолжает развиваться. По мере поступления новых данных GreyNoise обещает публиковать обновления и уточнённые сигнатуры, позволяющие точнее идентифицировать задействованные узлы и минимизировать риск компрометации корпоративных систем.