Interneto žvalgybos įmonė „Greynoise“ praneša, kad ji užfiksavo reikšmingą nuskaitymo veiklos smaigalį, kurį sudaro beveik 1 971 IP adresai, tikrinantys „Microsoft Remote Desktop Web Access“ ir „Web Client“ autentifikavimo portalus vieningai, ir tai rodo koordinuotą žvalgybos kampaniją.
Tyrėjai sako, kad tai yra didžiulis veiklos pokytis, kai įmonė paprastai mato tik 3–5 IP adresus per dieną, atliekant tokio tipo nuskaitymą.
„Greynoise“ sako, kad nuskaitymo banga bando laiko trūkumus, kurie galėtų būti naudojami patikrinti vartotojo vardus, nustatant būsimas kredencialų atakas, tokias kaip brutalios jėgos ar slaptažodžių purškimo atakos.
Laiko trūkumai atsiranda, kai sistemos reagavimo laikas arba užklausa netyčia atskleidžia neskelbtiną informaciją. Tokiu atveju nedidelis laiko skirtumas, kaip greitai RDP reaguoja į prisijungimo bandymus su galiojančiu vartotoju, palyginti su negaliojančiu, galėtų leisti užpuolikams daryti išvadą, jei vartotojo vardas yra teisingas.
„Greynoise“ taip pat sako, kad 1851 buvo tas pats kliento parašas, o iš tų maždaug 92% jau buvo pažymėti kaip kenkėjiški. IP adresai daugiausia kilę iš Brazilijos ir tiksliniai IP adresai JAV, tai rodo, kad tai gali būti vienas botnetas arba įrankių rinkinys, atliekantis nuskaitymą.
Šaltinis: Greynoise
Tyrėjai sako, kad išpuolio laikas sutampa su JAV atgal į mokyklą, kai mokyklos ir universitetai gali sugrąžinti savo KPP sistemas internete.
„Laikas gali būti neatsitiktinis. Rugpjūčio 21 d. Sėdi JAV atgal į mokyklą, kai universitetai ir K-12 pristato RDP remiamas laboratorijas ir nuotolinę prieigą internete ir laive tūkstančius naujų paskyrų”,-aiškina Greynoise's Noah Stone.
„Šioje aplinkoje dažnai naudojami nuspėjami vartotojo vardo formatai (studentų ID,„ FirstName.LastName “), todėl euracija tampa efektyvesnė. Kartu su biudžeto apribojimais ir prioritetu, kad prieigos priėmimo metu, ekspozicija gali padidėti.”
Tačiau nuskaitymo padidėjimas taip pat galėtų reikšti, kad galėjo būti nustatytas naujas pažeidžiamumas, nes „Greynoise“ anksčiau nustatė, kad kenkėjiškų eismo smaigaliai dažniausiai prieš naujų pažeidžiamumų atskleidimą.
„Windows“ administratoriai valdo KPP portalus ir paveiktus įrenginius turėtų įsitikinti, kad jų sąskaitos yra tinkamai pritvirtintos naudojant daugiafaktoriaus autentifikavimą, ir, jei įmanoma, padėkite jas už VPN.
46% aplinkos slaptažodžiai buvo nulaužti, beveik padvigubėjo nuo 25% pernai.
Dabar gaukite „Picus Blue Report 2025“, kad galėtumėte išsamiai įvertinti daugiau išvadų apie prevencijos, aptikimo ir duomenų eksfiltravimo tendencijas.
