調整されたスキャンの急増マイクロソフトRDP認証サーバーをターゲットにします

インターネットインテリジェンス会社のGreynoiseは、MicrosoftリモートデスクトップWebアクセスとRDP Webクライアント認証ポータルをユニゾンで調査する1,971個のIPアドレスで構成されるスキャンアクティビティの大幅な急増を記録し、調整された偵察キャンペーンを示唆していると報告しています。

研究者は、これは活動の大幅な変化であり、会社は通常、このタイプのスキャンを実行する1日に3〜5個のIPアドレスしか見ないと言います。

Greynoiseによると、スキャンの波は、ユーザー名の検証に使用できるタイミング欠陥をテストし、ブルートフォースやパスワードスプレー攻撃などの将来の資格ベースの攻撃を設定していると言います。

タイミングの欠陥は、システムの応答時間または要求が意図せずに機密情報を明らかにしたときに発生します。この場合、RDPが無効なユーザーと比較して有効なユーザーとのログイン試行にどれだけ速く応答するかのわずかなタイミングの違いは、攻撃者がユーザー名が正しいかどうかを推測できるようにすることができます。

Greynoiseはまた、1,851が同じクライアントの署名を共有しており、そのうち約92％がすでに悪意があるとフラグを立てていると述べています。 IPアドレスは、主にブラジルとターゲットを絞った米国のIPアドレスから発生し、スキャンを実施する単一のボットネットまたはツールセットである可能性があることを示しています。

研究者は、攻撃のタイミングは、学校や大学がRDPシステムをオンラインに戻す可能性がある米国の学校に戻る季節と一致していると言います。

「タイミングは偶然ではないかもしれません。8月21日は、大学とK-12がRDPに支援されたラボとオンラインおよびリモートアクセスをオンラインおよび数千の新しいアカウントに搭載したときに、米国の学校に戻る窓にまっすぐに座っています。」 グレイノイズのノアストーンを説明します。

「これらの環境は、予測可能なユーザー名形式（学生ID、firstName.lastName）を使用することが多く、列挙をより効果的にします。予算の制約と登録中のアクセシビリティの優先事項と組み合わせることで、露出が急増する可能性があります。」

ただし、スキャンの急増は、Greynoiseが以前に悪意のあるトラフィックの急増を発見したため、新しい脆弱性が見つかった可能性があることを示している可能性もあります。 一般に、新しい脆弱性の開示に先行します。

RDPポータルと露出したデバイスを管理するWindows管理者は、マルチファクター認証でアカウントが適切に保護されていることを確認し、可能であれば、VPNの後ろに配置する必要があります。

環境の46％がパスワードを破損しており、昨年の25％からほぼ2倍になりました。

Picus Blue Report 2025を入手して、予防、検出、およびデータ除去の傾向に関するより多くの調査結果を包括的に見てください。

青いレポート2025を入手してください