10万を超えるIPアドレスから、米国のリモートデスクトッププロトコル(RDP)サービスを標的とした大規模なボットネット攻撃が発生しています。
このキャンペーンは10月8日に始まり、IPアドレスの発信元から、研究者たちは多国籍ボットネットによる攻撃であると考えています。
RDPは、Windowsシステムへのリモート接続や制御を可能にするネットワークプロトコルです。通常、管理者やヘルプデスクスタッフ、リモートワーカーによって使用されます。
攻撃者はしばしば、開いているRDPポートをスキャンしたり、ログインのブルートフォース攻撃、脆弱性の悪用、タイミング攻撃などを行います。
今回の場合、脅威監視プラットフォームGreyNoiseの研究者は、ボットネットが2種類のRDP関連攻撃に依存していることを発見しました:
- RD Web Accessタイミング攻撃 – RD Web Accessのエンドポイントを調査し、匿名認証フロー中の応答時間の違いを測定して有効なユーザー名を推測します
- RDPウェブクライアントのログイン列挙 – RDPウェブクライアントのログインフローとやり取りし、サーバーの挙動や応答の違いを観察することでユーザーアカウントを列挙します
GreyNoiseは、ブラジルからの異常なトラフィックスパイクの後、アルゼンチン、イラン、中国、メキシコ、ロシア、南アフリカ、エクアドルを含むより広い地域から同様の活動が見られたことで、このキャンペーンを検知しました。
同社によると、ボットネットに感染したデバイスが存在する国のリストは100カ国を超えるとのことです。
出典: GreyNoise
ほぼすべてのIPアドレスは共通のTCPフィンガープリントを持っており、(最大セグメントサイズ)に違いはあるものの、研究者たちはこれらがボットネットを構成するクラスターによるものだと考えています。
このような活動への対策として、システム管理者は攻撃を仕掛けてくるIPアドレスをブロックし、不審なRDPスキャンがないかログを確認することが推奨されています。
一般的な推奨事項として、リモートデスクトップ接続はインターネットに公開せず、VPNの追加や多要素認証(MFA)の導入で保護層を強化することが重要です。
