Researchers warn of widespread RDP attacks by 100K-node botnet
2025/10/14 SecurityAffairs — GreyNoise の研究者たちが発見したのは、10月8日以降の米国で Remote Desktop Protocol (RDP) サービスを標的とする、大規模なボットネットの活動である。今週に同社が検知したのは、ブラジルの IP 空間での異常なトラフィックの急増であり、その後に広範な通信パターンを調査したという。そして、このボットネットが複数の国の 10 万以上の IP アドレスから発信されていることが、調査の結果として確認された。
GreyNoise によると、このキャンペーンで用いられた攻撃ベクターは、RD Web Access でのタイミング攻撃と RDP Web クライアントのログイン列挙とのことだ。参加する IP の大半が類似した TCP フィンガープリントを持つことから、単一の組織が攻撃の背後に存在すると、研究者たちは考えている。
この攻撃は 100カ国以上の IP から発信されており、その中にはブラジル/アルゼンチン/イラン/中国/メキシコ/ロシア/南アフリカ/エクアドルなどが含まれる。
GreyNoise は、「2025年10月8日以降において、100カ国以上から発信された 10万以上の固有 IP アドレスが関与する、組織的なボットネット活動を追跡している。その標的は、米国内の RDP サービスである。この、今週から急増している攻撃は、複数の国々にまたがるボットネットによるものだと、高い確信をもって評価している」と述べている。
この活動が単一のボットネットに起因するという、同社の結論づけの背景には複数の要因がある。
- ほぼすべてのトラフィックが類似した TCP フィンガープリントを共有しており、MSS (Maximum Segment Size) のみが変化していた。
- このコンテキストにおける MSS は、侵害されたボットネット・クラスターにより変化する可能性が高い。
- 標的化のタイミングとパターンは、集中管理下で行われる協調的な活動を示唆している。
- 共有された RDP 攻撃ベクターも集中管理を示唆しており、この目的のためだけに起動されたものと推定される。
ボットネット攻撃からRDP サービスを保護するために必要なのは、VPN やファイアウォールによるアクセス制限/多要素認証 (MFA) と強力なパスワードの適用/ネットワークレベル認証 (NLA) の有効化などに加えて、システムをパッチ適用状態に保つことである。また、ログイン試行の異常の監視/EDR や fail2ban を用いたブルートフォース攻撃のブロック/RDP への最小限のアクセスなども実施すべきだ。
米国の RDP を狙う、大規模ボットネットの活動が発見されました、世界中に散在する脆弱な端末群を乗っ取り、単一の運用で集中制御する体制があるようです。共通の TCP フィンガープリントや攻撃タイミングの一致が示唆するのは、単独組織による統制された攻撃であり、ログイン列挙やタイミング攻撃といった効率的なベクターの共有が拡大していると、この記事は指摘しています。よろしければ、Botnet で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.