Devasa, koordineli bir botnet kampanyası, Amerika Birleşik Devletleri’ndeki Uzak Masaüstü Protokolü (RDP) hizmetlerini aktif olarak hedefliyor.
Güvenlik firması GreyNoise, 8 Ekim 2025’te 100’den fazla ülkeyi kapsayan 100.000’den fazla benzersiz IP adresinden kaynaklanan önemli bir saldırı dalgasını takip ettiğini bildirdi.
Operasyonun, uzaktan çalışma ve yönetim için kritik bir bileşen olan RDP altyapısından ödün vermek temel hedefiyle merkezi olarak kontrol edildiği görülüyor.
Bu kampanyanın ölçeği ve organize yapısı, günlük operasyonları için RDP’ye bağımlı olan kuruluşlar için önemli bir tehdit oluşturmaktadır.
Bu yaygın saldırıya ilişkin soruşturma, GreyNoise analistlerinin Brezilya’da coğrafi konuma sahip IP’lerden gelen trafikte anormal bir artış tespit etmesinden sonra başladı.
Bu ilk bulgu, Arjantin, İran, Çin, Meksika, Rusya ve Güney Afrika da dahil olmak üzere çok sayıda ülkedeki benzer faaliyet artışlarını hızla ortaya çıkaran daha geniş bir analize yol açtı. Farklı coğrafi kökenlere rağmen saldırılar ortak bir hedefi paylaşıyor: ABD’deki RDP hizmetleri.
Analistler, bu faaliyetin tek, büyük ölçekli bir botnet’in işi olduğundan oldukça eminler. Bu sonuç, neredeyse tüm katılımcı IP’lerin benzer bir TCP parmak izini paylaşması gerçeğiyle desteklenmektedir. Bu teknik imza, saldırıları düzenleyen standart, merkezi bir komuta ve kontrol yapısını akla getiriyor.
Bu kampanyanın arkasındaki tehdit aktörleri, savunmasız sistemleri tespit etmek ve tehlikeye atmak için iki spesifik saldırı vektörünü kullanıyor.
Bunlardan ilki, saldırganların sunucunun oturum açmaya verdiği yanıt süresini ölçerek geçerli ve geçersiz kullanıcı adlarını anonim olarak ayırt etmeye çalıştığı bir yöntem olan RD Web Erişimi zamanlama saldırısıdır.
İkinci vektör, sistematik olarak kullanıcı kimlik bilgilerini tahmin etmeye çalışan bir RDP web istemcisi oturum açma numaralandırmasıdır. Bu yöntemler, botnet’in, standart güvenlik uyarılarını hemen tetiklemeden, yararlanılabilir RDP erişim noktalarını etkili bir şekilde taramasına ve tanımlamasına olanak tanır.
Bu spesifik, önemsiz olmayan saldırı yöntemlerinin bu kadar çok sayıda düğümde senkronize kullanımı, tek bir operatör veya grup tarafından yönetilen koordineli bir operasyona işaret ediyor.
Azaltmalar
Devam eden bu tehdide yanıt olarak GreyNoise, ağ savunucuları için özel öneriler yayınladı. Firma, kuruluşlara, proaktif olarak olağandışı RDP araştırması veya bu kampanyanın kalıplarıyla eşleşen başarısız oturum açma girişimleri için güvenlik günlüklerini kontrol etmelerini tavsiye ediyor.
Daha doğrudan koruma sağlamak için GreyNoise, platformu üzerinden erişilebilen “microsoft-rdp-botnet-oct-25” adlı dinamik bir engelleme listesi şablonu oluşturdu.
Bu, müşterilerin bu kötü amaçlı botnet etkinliğiyle ilişkili bilinen tüm IP adreslerini otomatik olarak engellemesine olanak tanır ve ağ çevresindeki saldırıları etkili bir şekilde keser.
Uzaktan çalışma için RDP kullanan kuruluşlar, RDP güvenliklerini kontrol etmelidir. Güçlü parola politikaları uygulamalı ve mümkün olduğunda çok faktörlü kimlik doğrulamayı kullanmalıdırlar. Bu, kaba kuvvet saldırıları gibi büyük ölçekli bilgisayar korsanlığı girişimlerine karşı korunmaya yardımcı olacaktır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
