24 августа 2025 года система мониторинга GreyNoise зафиксировала беспрецедентную волну сканирования уязвимостей в службах Microsoft Remote Desktop Protocol (RDP). Более 30 000 уникальных IP-адресов одновременно атаковали как Microsoft RD Web Access, так и Microsoft RDP Web Client, используя одинаковую клиентскую сигнатуру. Это событие стало резким усилением активности, о которой первоначально сообщалось тремя днями ранее.
Описание
Изначально, 21 августа, GreyNoise наблюдал резкий всплеск сканирования RDP-сервисов. Тогда было задействовано почти 2000 IP-адресов, подавляющее большинство из которых уже были помечены как злонамеренные. Эти адреса одновременно проверяли порты аутентификации Microsoft RD Web Access и Microsoft RDP Web Client, пытаясь выявить уязвимости, связанные с временными задержками, которые могут раскрыть действительные имена пользователей. Такая тактика часто используется для подготовки к атакам на основе учётных данных.
В обычных условиях ежедневная активность по этим тегам не превышает 3-5 IP-адресов. Однако 21 августа их число достигло 1971, что на несколько порядков превысило стандартные показатели. Важно отметить, что все адреса, участвовавшие в атаке на один тег, также появлялись и на другом, а временные линии показали, что одна и та же клиентская сигнатура применялась одновременно к обоим тегам. Эта сигнатура была впервые замечена 21 августа и с тех пор использовалась исключительно для атак на Microsoft RDP.
Анализ данных выявил несколько ключевых особенностей атаки. Из 1971 IP-адресов 1851 использовали одинаковую клиентскую сигнатуру, что указывает на применение единого инструментария или модуля ботнета. При этом 1698 из этих адресов (около 92%) уже были классифицированы GreyNoise как злонамеренные. Географическое распределение источников атаки показало значительный перекос в сторону Бразилии, на которую пришлось около 73% активности, в то время как единственной целевой страной в этом всплеске стали Соединённые Штаты.
Кроме того, те же IP-адреса демонстрировали многоплановое поведение: они также отмечались как сканеры открытых прокси и веб-краулеры, что согласуется с использованием многофункционального инструментария, включающего передачу HTTP referrer заголовков. Отдельно, но потенциально relevante, 22 августа GreyNoise зафиксировал всплеск сканирования открытых прокси, что следует за аномалиями, наблюдавшимися 31 июля и 9 августа. Предварительные исследования указывают на частичное совпадение клиентских сигнатур между этой активностью и RDP-сканированием, detected 21 августа.
Обновление от 25 августа показало, что ситуация значительно ухудшилась: всего через несколько часов после публикации исходного отчёта было идентифицировано более 30 000 уникальных IP-адресов, атакующих те же цели с той же сигнатурой. Это указывает на возможность скоординированной кампании, направленной на компрометацию корпоративных сетей через уязвимости в удалённом доступе.
Эксперты по безопасности отмечают, что такие атаки подчёркивают критическую важность защиты RDP-сервисов, которые остаются популярной мишенью для киберпреступников. Рекомендуется использовать многофакторную аутентификацию, регулярно обновлять программное обеспечение и ограничивать доступ к RDP через VPN или другие средства защиты. Активность, наблюдавшаяся в конце августа, служит напоминанием о том, что угрозы могут быстро эскалировать, требуя непрерывного мониторинга и оперативного реагирования.
