Uma campanha sofisticada de varredura aumentou drasticamente, com a empresa de inteligência de ameaças Greynoise detectando mais de 30.000 endereços IP exclusivos que investigam os serviços do Microsoft Remote Desktop Protocol (RDP) em 24 de agosto de 2024.
Isso representa uma expansão significativa de uma onda inicial de quase 2.000 IPs observados apenas três dias antes, marcando uma das maiores operações coordenadas de reconhecimento de RDP documentadas este ano.
A campanha chamou a atenção dos pesquisadores de segurança em 21 de agosto, quando Greynoise observou uma onda sem precedentes na atividade de varredura direcionada Microsoft Remote Desktop Acesso à Web e portais de autenticação do cliente da Web RDP.
A atividade da linha de base para esses serviços normalmente envolve apenas 3-5 endereços IP por dia, fazendo com que o aparecimento repentino de 1.971 IPS uma anomalia clara representando ordens de magnitude acima dos níveis normais.
O que tornou essa campanha particularmente preocupante foi sua precisão e coordenação. Cada endereço IP direcionado ao Serviço de Acesso à Web do Microsoft RD também investigou simultaneamente o portal do Microsoft RDP Web Client, indicando uma operação altamente organizada em vez de varredura oportunista.
A uniformidade se estendeu à metodologia de ataque, com 1.851 das 1.971 IPs compartilhando assinaturas idênticas ao cliente, sugerindo fortemente o uso de um único conjunto de ferramentas ou módulo de botnet coordenado.
Análise técnica do vetor de ataque
A operação de varredura se concentrou especificamente na identificação de vulnerabilidades de tempo nos fluxos de trabalho de autenticação RDP da Microsoft.
Esses ataques de tempo exploram diferenças sutis nos tempos de resposta do servidor para determinar se os nomes de usuário enviados são válidos, mesmo sem fornecer senhas corretas.
Essa técnica de reconhecimento é particularmente valiosa para os invasores, pois permite que eles criem listas abrangentes de contas de usuário válidas antes de tentar ataques baseados em credenciais.
Os atacantes empregaram uma abordagem em duas fases. Primeiro, eles identificaram sistematicamente os sistemas voltados para a Internet expondo o RD Web Access ou RDP Web Client serviços.
Segundo, eles testaram esses pontos de extremidade descobertos para falhas de tempo de autenticação que poderiam revelar nomes de usuário válidos por meio da análise do tempo de resposta.
Essa enumeração metódica cria uma base para ataques subsequentes de preenchimento de credenciais, pulverização de senha ou ataques de força bruta com taxas de sucesso significativamente mais altas.
A distribuição de origem dos IPs atacantes revelou padrões geográficos fortemente distorcidos, com aproximadamente 73% originários do Brasil.
No entanto, a segmentação foi notavelmente focada, com os Estados Unidos servindo como país -alvo exclusivo durante o pico inicial de 21 de agosto.
Essa concentração geográfica sugere que a campanha pode ser projetada especificamente para explorar a infraestrutura americana durante um prazo estrategicamente escolhido.
A análise da Greynoise revelou que 92% dos endereços IP participantes (1.698 de 1.851) já estavam sinalizados como maliciosos em seu banco de dados de inteligência de ameaças.
Além disso, muitos desses mesmos IPs exibiram comportamento de varredura multiuso, também sendo marcado como scanners de proxy e rastreadores da Web, indicando o uso de sofisticados kits de ferramentas de ataque multiuso.
O momento desta campanha parece deliberadamente calculado para coincidir com o período americano de volta às aulas.
As instituições educacionais normalmente trazem inúmeros sistemas de laboratório habilitados para RDP e serviços de acesso remoto on-line durante o final de agosto, enquanto simultaneamente a integração milhares de novas contas de usuário.
Esses ambientes geralmente empregam formatos de nome de usuário previsíveis, como IDs de estudantes ou combinações de nome do primeiro nome.
A vulnerabilidade Bluekeep de 2019 (CVE-2019-0708) fornece um precedente referente, mostrando como a varredura de RDP generalizada pode fazer a transição rapidamente para a exploração em massa quando os métodos de ataque viáveis surgirem.
Pesquisa de Greynoise Indica que 80% dos picos de varredura focados na tecnologia precedem a descoberta de novas vulnerabilidades dentro de seis semanas, sugerindo que esta campanha pode indicar divulgações de segurança relacionadas ao RDP iminentes.
A inteligência recente de ameaças também documenta atores sofisticados que aproveitam o RDP para operações de espionagem, com grupos Rússia-nexus utilizando recursos de RDP menos conhecidos para a exfiltração de dados contra metas militares e governamentais européias, demonstrando o valor do protocolo além do simples acesso remoto.
As equipes de segurança devem priorizar medidas de endurecimento do RDP e preparar procedimentos de resposta a incidentes para possíveis ataques de acompanhamento que alavancam os dados de reconhecimento coletados durante esta operação maciça de varredura.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!