详细内容或原文请订阅后点击阅览
研究人员警告 10 万节点僵尸网络进行广泛的 RDP 攻击
自 10 月 8 日以来,一个由多个国家/地区超过 10 万个 IP 组成的僵尸网络正在攻击美国 RDP 服务。GreyNoise 研究人员从 10 月 8 日开始发现了一个针对美国远程桌面协议 (RDP) 服务的大规模僵尸网络。该公司在检测到巴西 IP 异常激增后发现了该僵尸网络 [...]
来源:Security Affairs _恶意软件研究人员警告 10 万节点僵尸网络进行广泛的 RDP 攻击
自 10 月 8 日以来,来自多个国家/地区超过 10 万个 IP 的僵尸网络正在攻击美国 RDP 服务。
GreyNoise 研究人员从 10 月 8 日起发现了一个针对美国远程桌面协议 (RDP) 服务的大规模僵尸网络。
该公司在本周检测到巴西 IP 空间异常激增并对更广泛的流量模式进行调查后发现了该僵尸网络。
专家观察到,攻击企图来自多个国家的超过10万个IP地址。
据网络安全公司称,该活动采用了两种特定的攻击媒介 - RD Web 访问定时攻击和 RDP Web 客户端登录枚举。研究人员认为,攻击背后有一个实体,因为大多数参与的 IP 共享一个相似的 TCP 指纹。
RD Web 访问定时攻击 RDP Web 客户端登录枚举来源国家/地区超过 100 个,包括巴西、阿根廷、伊朗、中国、墨西哥、俄罗斯、南非、厄瓜多尔等。
“自 2025 年 10 月 8 日以来,GreyNoise 跟踪了一个协调僵尸网络操作,涉及来自 100 多个国家/地区的 100,000 多个唯一 IP 地址,目标是美国的远程桌面协议 (RDP) 服务。”阅读该咨询意见。 “我们充满信心地评估,本周开始的 RDP 目标提高是由多国僵尸网络造成的。”
阅读公告Gray Noise 得出结论:“有几个因素表明这一活动源自一个僵尸网络:”
- 几乎所有流量都共享一个相似的 TCP 指纹,只有 MSS 发生变化。 在这种情况下,MSS 可能会根据受感染的僵尸网络集群而变化。目标的时间和模式意味着具有集中控制的协调活动。共享 RDP 攻击向量再次表明集中控制,可能是由操作员出于此唯一目的而激活的。