.webp?w=696&resize=696,0&ssl=1 "RDP Hizmetleri Saldırı Altında")
Saldırganların zamanlamaya dayalı güvenlik açıklarından yararlanmak için günde 30.000’den fazla yeni IP adresi dağıttığı, Microsoft Uzak Masaüstü Protokolü (RDP) hizmetlerini hedefleyen kalıcı bir kampanya.
Küresel bir botnet ile bağlantılı bu koordineli çaba, Eylül 2025’ten bu yana, öncelikle ABD merkezli sistemleri hedef alan benzersiz IP’lerin 500.000’i aştığını gördü.
Saldırılar iki temel vektöre odaklanır: RD Web Erişimi anonim kimlik doğrulama zamanlama saldırıları ve RDP web istemcisi oturum açma numaralandırma kontrolleri. Bu yöntemler, bilgisayar korsanlarının, geleneksel engelleme araçlarını atlatmak için hızlı IP rotasyonlarını kullanarak, uyarıları tetiklemeden zayıf noktaları araştırmasına olanak tanır.
GreyNoise, botnet’in ölçeğini ilk kez 8 Ekim 2025’te Brezilya kaynaklı trafiğin önemli ölçüde arttığı ve binlerce uç noktada benzer TCP parmak izlerinin modelini ortaya çıkardığı zaman belirledi.
RDP Yeni IP’lerin Saldırısı Altında
14 Ekim itibarıyla botnet yaklaşık 300.000 IP’ye ulaştı; birkaç gün içinde boyutu üç katına çıktı ve 100’den fazla ülkeden kaynaklandı.
Brezilya %63 ile en büyük kaynak olurken onu %14 ile Arjantin ve %3 ile Meksika izliyor ve neredeyse tüm hedefler Amerika Birleşik Devletleri’nde yer alıyor.
Kaynak-hedef dinamiklerindeki bu tutarlılık, operasyonun muhtemelen tek bir tehdit aktörü veya grubu tarafından yönetilen merkezi kontrolünün altını çiziyor.
GreyNoise’dan alınan günlük aktivite grafikleri, Ekim ortasında 40.000’in üzerine çıkan toplam benzersiz IP’ler için gri çubuklar ve yeni gözlemlenenler için mavi çubuklar göstererek aralıksız tempoyu gösteriyor.
Kümülatif grafikler, 15 Ekim itibarıyla 500.000 benzersiz IP’yi aşan dik bir yükseliş gidişatını ortaya koyuyor ve altyapı kaybının gelişen riskini vurguluyor.
Uzmanlar, saldırıyı sürdürmek için her gün yeni düğümler etkinleştirildiğinden, statik IP engellemenin bu yüksek cirolu botnet’e karşı etkisiz olduğu konusunda uyarıyor.
Bu kampanya, saldırganların tek kullanımlık altyapı yoluyla ilişkilendirmeyi ve kaçırmayı karmaşık hale getirdiği daha geniş bir eğilimin örneğini oluşturuyor.
RDP, fidye yazılımı ve veri ihlalleri için ana giriş noktası olmayı sürdürürken, ABD’deki kuruluşlar, özellikle de uzaktan erişime bağımlı olanlar, daha fazla riskle karşı karşıya kalıyor. GreyNoise, bu etiketlere bağlı olağandışı RDP araştırmaları için günlük incelemelerini teşvik ederek izlemeye devam ediyor.
Operasyonun IP’lerin 100.000’den 500.000’in üzerine çıkması, daha da tırmanma potansiyeline işaret ediyor ve geleneksel önlemlerin ötesinde proaktif savunmalar gerektiriyor.
Botnet’in ABD altyapısına odaklanması nedeniyle istihbarat odaklı engellemenin derhal benimsenmesi, yaygın uzlaşmayı önleyebilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
