Microsoft RD Web erişimi ve RDP Web istemci kimlik doğrulama portallarındaki güvenlik açıklarını soruşturmak için 30.000’den fazla benzersiz IP adresi kullanan tehdit aktörleri ile Microsoft Uzak Masaüstü Protokolü (RDP) hizmetlerini hedefleyen devasa bir koordineli tarama kampanyası.
Kampanya, son yıllarda gözlemlenen en büyük koordineli RDP keşif operasyonlarından birini temsil ederek, büyük ölçekli kimlik temelli saldırılar için potansiyel hazırlığı işaret ediyor.
Key Takeaways
1. 30,000+ IPs attack, the largest recorded Microsoft RDP scanning campaign.
2. US schools hit during back-to-school season for username enumeration attacks.
3. 80% chance of major exploits.
Uzak Masaüstü Protokolü Saldırı Kampanyası
Tarama işlemi, 21 Ağustos 2025’te aynı anda hem Microsoft RD Web erişimini hem de Microsoft RDP Web istemci hizmetlerini hedefleyen yaklaşık 2.000 IP adresini içeren bir ilk dalga ile başladı.
Bununla birlikte, kampanya 24 Ağustos’ta, güvenlik araştırmacılarının, aynı müşteri imzaları kullanarak koordineli problar yürüten ve karmaşık bir botnet altyapısı veya koordineli araç seti dağıtımını gösteren koordineli problar uygulayan dramatik bir şekilde arttı.
Geynoise, saldırı metodolojisinin, geleneksel kaba kuvvet algılama mekanizmalarını tetiklemeden geçerli kullanıcı adlarını tanımlamak için sunucu yanıt sürelerindeki ince farklılıkları kullanan bir teknik olan zamanlama tabanlı kimlik doğrulama numaralandırmasına odaklandığını bildirmektedir.
Bu yaklaşım, saldırganların operasyonel gizliliği korurken sonraki kimlik bilgisi doldurma ve şifre püskürtme işlemleri için kapsamlı hedef listeler oluşturmalarını sağlar.
Ağ telemetri analizi, tarama altyapısının% 92’sinin daha önce sınıflandırılmış kötü amaçlı IP adreslerinden oluştuğunu, kaynak trafiğinin Brezilya’da (gözlemlenen kaynakların% 73’ü) yoğun bir şekilde yoğunlaştığını ve sadece ABD tabanlı RDP uç noktalarını hedeflediğini ortaya koymaktadır.
1.971 ilk tarama ana bilgisayarının 1.851’inde tek tip müşteri imza modelleri, gelişmiş kalıcı tehdit (APT) operasyonlarına özgü merkezi bir komut ve kontrol altyapısı önermektedir.
Eğitim sektörünü hedeflemek
Kampanyanın zamanlaması, eğitim kurumlarının tipik olarak RDP özellikli laboratuvar ortamlarını ve gelen öğrenciler için uzaktan erişim sistemlerini kullandığı ABD’nin okula dönüş dönemine denk geliyor.
Bu hedefleme penceresi stratejik olarak önemlidir, çünkü eğitim ağları genellikle numaralandırma saldırılarını kolaylaştıran öngörülebilir kullanıcı adı şemalarını (Öğrenci Kimlikleri, FirstName.LastName formatları) uygular.
Tehdit aktörleri çok aşamalı keşif operasyonları yürütüyor, önce açıkta kalan RD Web erişimini ve RDP Web istemci uç noktalarını belirliyor, ardından bilgi açıklama güvenlik açıkları için kimlik doğrulama iş akışlarını test ediyor.
Bu sistematik yaklaşım, gelecekteki sömürü kampanyaları için geçerli kullanıcı adları ve erişilebilir uç noktalar içeren kapsamlı hedef veritabanlarının oluşturulmasını sağlar.
Güvenlik araştırmacıları, aynı IP altyapısının, açık proxy hizmetleri ve web tarama işlemleri için paralel tarama yapıldığını ve kapsamlı ağ keşifleri için tasarlanmış çok amaçlı bir tehdit araç setini gösterdiğini belirtiyor.
Tarihsel analiz, belirli teknolojilere karşı koordineli tarama sivri uçlarının, önceki tehdit istihbarat araştırmalarındaki% 80 korelasyon oranlarına dayanarak, altı hafta içinde sıfır gün güvenlik açıklarının keşfinden veya sömürülmesinden önce geldiğini göstermektedir.
Bu RDP tarama kampanyasının ölçeği ve koordinasyonu, tehdit aktör yeteneklerinde önemli bir artışı temsil eder, potansiyel olarak büyük ölçekli fidye yazılımı dağıtımına, kimlik bilgisi hasat işlemlerine veya daha önce bilinmeyen RDP güvenlik açıklıklarının sömürülmesini gösterir.
Microsoft RDP hizmetlerini işleten kuruluşlar, tanımlanan müşteri imzalarını kullanarak derhal sertleştirme önlemleri uygulamalı ve takip sömürü denemelerini izlemelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.