针对 Microsoft 远程桌面协议 （RDP） 服务的大规模协调扫描活动，威胁行为者部署了 30,000 多个唯一 IP 地址来探测 Microsoft RD Web Access 和 RDP Web 客户端身份验证门户中的漏洞。

该活动是近年来观察到的最大规模的协调 RDP 侦察行动之一，表明可能为大规模基于凭据的攻击做好准备。

远程桌面协议攻击活动

GreyNoise 报告称，该攻击方法侧重于基于时序的身份验证枚举，这是一种利用服务器响应时间的细微差异来识别有效用户名而不触发传统暴力检测机制的技术。

这种方法允许攻击者为后续的撞库和密码喷洒作构建全面的目标列表，同时保持作隐蔽性。

网络遥测分析显示，92% 的扫描基础设施由先前分类的恶意 IP 地址组成，源流量严重集中在巴西（占观察到的来源的 73%），同时专门针对位于美国的 RDP 端点。

1,971 个初始扫描主机中 1,851 个的统一客户端签名模式表明，高级持续威胁 （APT）作的典型集中式命令和控制基础设施。

以教育部门为目标

该活动的时间恰逢美国返校期间，教育机构通常会为新生部署支持 RDP 的实验室环境和远程访问系统。

这个目标窗口具有重要的战略意义，因为教育网络通常会实施可预测的用户名架构（学生 ID、firstname.lastname 格式），从而促进枚举攻击。

威胁行为者正在进行多阶段侦察行动，首先识别暴露的 RD Web Access 和 RDP Web 客户端端点，然后测试身份验证工作流程是否存在信息泄露漏洞。

这种系统方法可以创建包含有效用户名和可访问端点的综合目标数据库，以供未来的利用活动使用。

安全研究人员指出，已观察到相同的 IP 基础设施对开放代理服务和网络爬虫作进行并行扫描，这表明存在专为全面网络侦察而设计的多用途威胁工具包。

历史分析表明，根据之前威胁情报研究中 80% 的相关率，针对特定技术的协调扫描峰值通常在六周内发现或利用零日漏洞之前出现。

此次 RDP 扫描活动的规模和协调性代表了威胁行为者能力的显著升级，可能表明正在为大规模勒索软件部署、凭据收集作或利用以前未知的 RDP 漏洞做好准备。

运营 Microsoft RDP 服务的组织应立即实施强化措施，并使用已识别的客户端签名监视后续利用尝试。

阅读原文：原文链接