27/08/25
Одновременно работал 1971 уникальный IP-адрес, тогда как обычно компания видит лишь 3—5 таких источников в сутки, пишут в Securitylab. По оценке аналитиков, согласованность и масштаб указывают на скоординированную кампанию, в которой атакующие проверяют поведение порталов аутентификации и готовят почву для последующих атак на пароли.
В 1851 случае наблюдался один и тот же клиентский «отпечаток», причём около 92% этих узлов уже помечены как вредоносные. Основной трафик исходил из Бразилии и бил по адресам в США, что согласуется с гипотезой о едином ботнете или общем наборе инструментов.
Цель сканирующей волны — поиски тайминговых атак, когда микроскопическая разница во времени ответа невольно выдаёт чувствительную информацию. Если RDP-веб-портал отвечает на попытку входа с существующим именем немного быстрее, чем на запрос к несуществующему пользователю, это даёт возможность подтверждать валидность логинов без знания пароля — классический канал стороннего наблюдения по времени отклика.
По времени всплеска исследователи указывают на 21 августа — период начала учебного года в США. В эти дни школы и вузы массово поднимают RDP-сервисы для удалённых лабораторий, создают множество новых записей и временно ставят доступность выше жёстких ограничений. В таких средах часто применяются предсказуемые схемы логинов — от студенческих идентификаторов до шаблонов «имя.фамилия» — что дополнительно повышает эффективность перечисления имён. Свою роль играют и бюджетные ограничения в образовании: там, где приоритетом становится быстрое подключение тысяч пользователей, контрольная обвязка и защитные механизмы нередко внедряются с задержкой.
GreyNoise подчёркивает, что подобные пики из прошлого опыта нередко предвосхищают публичное раскрытие свежих уязвимостей. Даже если это лишь подготовка к последующим атакам на пароли, риски остаются высокими: подтверждение логина сокращает площадь подбора и повышает результативность как точечного перебора, так и метода password spraying на большой массе аккаунтов.
Минимальная мера — обязательная проверка для всех учётных записей, имеющих доступ к RDP-веб-порталам, и перенос этих порталов за VPN или иные рубежи удалённого доступа. Дополнительно стоит ограничить внешний доступ к RD Web Access по спискам источников, включить жёсткие огнраичения на попытки входа и внимательно оценить любые различия во времени ответа, способные превратиться в утечку по побочным каналам.
