Büyük ölçekli bir botnet, Amerika Birleşik Devletleri'ndeki 100.000'den fazla IP adresinden Uzak Masaüstü Protokolü (RDP) hizmetlerini hedefliyor.
Kampanya 8 Ekim'de başladı ve IP'lerin kaynağına dayanarak araştırmacılar, saldırıların çok ülkeli bir botnet tarafından başlatıldığına inanıyor.
RDP, Windows sistemlerinin uzaktan bağlanmasını ve kontrolünü sağlayan bir ağ protokolüdür. Genellikle yöneticiler, yardım masası personeli ve uzaktan çalışanlar tarafından kullanılır.
Saldırganlar genellikle açık RDP bağlantı noktalarını tarar veya kaba kuvvetle oturum açmaya, güvenlik açıklarından yararlanmaya veya zamanlama saldırıları gerçekleştirmeye çalışır.
Bu durumda, tehdit izleme platformu GreyNoise'daki araştırmacılar, botnet'in RDP ile ilgili iki tür saldırıya dayandığını buldu:
GreyNoise, kampanyayı Brezilya'daki olağandışı trafik artışının ardından Arjantin, İran, Çin, Meksika, Rusya, Güney Afrika ve Ekvador'un da dahil olduğu daha geniş bir coğrafyadaki benzer faaliyetlerin ardından tespit etti.
Şirket, botnet'te güvenliği ihlal edilmiş cihazların bulunduğu ülkelerin tam listesinin 100'ü aştığını söylüyor.
Neredeyse tüm IP adresleri ortak bir TCP parmak izini paylaşıyor ve (Maksimum Segment Boyutunda) farklılıklar olmasına rağmen, araştırmacılar bunların botnet'i oluşturan kümelerden kaynaklandığına inanıyor.
Bu etkinliğe karşı savunma yapmak için sistem yöneticilerinin, saldırıları başlatan IP adreslerini engellemeleri ve günlükleri şüpheli RDP incelemelerine karşı kontrol etmeleri önerilir.
Genel bir öneri olarak, uzak masaüstü bağlantısının herkese açık internete açık olmaması gerekir; VPN ve çok faktörlü kimlik doğrulamanın (MFA) eklenmesi bir koruma katmanı ekler.
İhlal ve Saldırı Simülasyon Zirvesine katılın ve güvenlik doğrulamanın geleceğini deneyimleyin. En iyi uzmanlardan bilgi alın ve yapay zeka destekli BAS'ın ihlal ve saldırı simülasyonunu nasıl dönüştürdüğünü görün.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın
RondoDox botnet, dünya çapındaki saldırılarda 56 günlük kusuru hedefliyor
Palo Alto Networks giriş portallarını hedef alan taramalarda büyük artış
Broadcom, NSA tarafından bildirilen yüksek önemdeki VMware NSX hatalarını düzeltti
1,5 Bpps hizmet reddi saldırısında DDoS savunucusu hedef alındı
Bilgisayar korsanları, açığa çıkan Docker API ihlallerinde Tor'un arkasına saklanıyor
Kaynak: Bleeping Computer