Eine groß angelegte Kampagne zielt auf RDP-Dienste (Remote Desktop Protocol) in den Vereinigten Staaten ab und nutzt dabei ein Botnetz mit mehr als 100.000 IP-Adressen. Die Aktivität begann am 8. Oktober und Forscher der Bedrohungsüberwachungsplattform GreyNoise gehen davon aus, dass die Angriffe von einem länderübergreifenden Botnetz ausgehen.

RDP ist ein Netzwerkprotokoll, das eine Fernverbindung und -steuerung von Windows-Systemen ermöglicht und häufig von Systemadministratoren, Helpdesk-Mitarbeitern und Remote-Mitarbeitern verwendet wird. Angreifer suchen häufig nach offenen RDP-Ports, um Brute-Force-Anmeldungen durchzuführen, Schwachstellen auszunutzen oder andere Angriffe durchzuführen.

Die Forscher von GreyNoise stellten fest, dass das Botnetz zwei spezifische RDP-bezogene Angriffsmethoden einsetzt. Beim ersten handelt es sich um einen RD Web Access-Timing-Angriff, bei dem das Botnetz Endpunkte untersucht und Unterschiede in den Serverantwortzeiten während der anonymen Authentifizierung misst, um auf gültige Benutzernamen zu schließen. Die zweite Methode ist eine RDP-Webclient-Anmeldeaufzählung, die mit dem Anmeldeprozess interagiert, um Benutzerkonten zu identifizieren, indem sie unterschiedliche Serververhalten und -reaktionen beobachtet.

You Might Also Like
PlayStation entwickelt KI-Frame-Generierung für zukünftige Konsolen
PlayStation entwickelt KI-Frame-Generierung für zukünftige Konsolen
Apple-Leak deutet darauf hin, dass das preisgünstige MacBook Neo morgen auf den Markt kommen könnte
Apple-Leak deutet darauf hin, dass das preisgünstige MacBook Neo morgen auf den Markt kommen könnte
Huawei bringt 5A-Netzwerkfähigkeit in das Einstiegsmodell Enjoy 70X
Huawei bringt 5A-Netzwerkfähigkeit in das Einstiegsmodell Enjoy 70X

Die Kampagne wurde erstmals nach einem ungewöhnlichen Anstieg des Traffics aus Brasilien entdeckt. Später kam es auch in anderen Ländern zu Aktivitäten, darunter Argentinien, Iran, China, Mexiko, Russland, Südafrika und Ecuador. Laut GreyNoise befinden sich die kompromittierten Geräte, aus denen das Botnetz besteht, in mehr als 100 Ländern.

Eine technische Analyse ergab, dass nahezu alle angreifenden IP-Adressen einen gemeinsamen TCP-Fingerabdruck haben. Es wird angenommen, dass geringfügige Abweichungen in der maximalen Segmentgröße durch unterschiedliche Cluster innerhalb des Botnetzes verursacht werden. Um diese Bedrohung zu mindern, empfiehlt GreyNoise den Systemadministratoren, die identifizierten angreifenden IP-Adressen zu blockieren und die Systemprotokolle auf Anzeichen verdächtiger RDP-Prüfungen zu überprüfen.

Aus Sicherheitsgründen wird Organisationen empfohlen, RDP-Dienste nicht direkt dem öffentlichen Internet zugänglich zu machen. Die Implementierung eines Virtual Private Network (VPN) und die Anforderung einer Multi-Faktor-Authentifizierung (MFA) können zusätzliche Schutzebenen gegen solche Angriffe bieten.