Компания по кибербезопасности GreyNoise сообщила 8 октября 2025 года, что отслеживает масштабную волну атак, исходящих из более чем 100 000 уникальных IP-адресов, охватывающих свыше 100 стран.
Судя по всему, операция централизована и направлена на компрометацию инфраструктуры RDP — критически важного компонента для удалённой работы и администрирования.
Масштаб и организованный характер кампании представляют серьёзную угрозу для организаций, которые ежедневно зависят от RDP.
Расследование этой широко распространённой атаки началось после того, как аналитики GreyNoise зафиксировали аномальный всплеск трафика с IP-адресов, геолокализованных в Бразилии.
Это первоначальное наблюдение привело к более широкому анализу, который вскоре выявил аналогичные всплески активности в ряде стран, включая Аргентину, Иран, Китай, Мексику, Россию и Южную Африку. Несмотря на разнообразие географических источников, все атаки направлены на одну цель — службы RDP в США.
Злоумышленники используют два конкретных вектора атаки для поиска и взлома уязвимых систем:
Синхронное применение этих сложных атакующих техник на большом количестве узлов указывает на скоординированную операцию, управляемую единым оператором или группой.
- Источник: https://cybersecuritynews.com/hackers-attacking-rdp-services/
Судя по всему, операция централизована и направлена на компрометацию инфраструктуры RDP — критически важного компонента для удалённой работы и администрирования.
Масштаб и организованный характер кампании представляют серьёзную угрозу для организаций, которые ежедневно зависят от RDP.
Расследование этой широко распространённой атаки началось после того, как аналитики GreyNoise зафиксировали аномальный всплеск трафика с IP-адресов, геолокализованных в Бразилии.
Это первоначальное наблюдение привело к более широкому анализу, который вскоре выявил аналогичные всплески активности в ряде стран, включая Аргентину, Иран, Китай, Мексику, Россию и Южную Африку. Несмотря на разнообразие географических источников, все атаки направлены на одну цель — службы RDP в США.
Ботнет, нацеленный на инфраструктуру RDP
Аналитики с высокой степенью уверенности полагают, что за этой активностью стоит один крупномасштабный ботнет. Этот вывод подтверждается тем, что почти все задействованные IP-адреса имеют схожий TCP-отпечаток, указывающий на наличие стандартной централизованной структуры управления и контроля (C2), координирующей атаки.Злоумышленники используют два конкретных вектора атаки для поиска и взлома уязвимых систем:
- Атака по времени отклика RD Web Access — метод, при котором атакующие измеряют время ответа сервера на попытки входа, чтобы анонимно различать действительные и недействительные имена пользователей.
- Перебор учётных данных через RDP Web Client — систематическая попытка угадывания пользовательских логинов и паролей.
Синхронное применение этих сложных атакующих техник на большом количестве узлов указывает на скоординированную операцию, управляемую единым оператором или группой.
- Источник: https://cybersecuritynews.com/hackers-attacking-rdp-services/