대규모 캠페인이 100,000개 이상의 IP 주소로 구성된 봇넷을 활용하여 미국의 RDP(원격 데스크톱 프로토콜) 서비스를 표적으로 삼고 있습니다. 이 활동은 10월 8일에 시작되었으며 위협 모니터링 플랫폼 GreyNoise의 연구원들은 이 공격이 다국가 봇넷에서 시작된 것으로 믿고 있습니다. RDP는 시스템 관리자, 헬프 데스크 직원 및 원격 직원이 일반적으로 사용하는 Windows 시스템의 원격 연결 및 제어를 허용하는 네트워크 프로토콜입니다. 공격자는 무차별 로그인을 수행하거나 취약점을 악용하거나 기타 공격을 수행하기 위해 열려 있는 RDP 포트를 자주 검색합니다. GreyNoise 연구원들은 봇넷이 두 가지 특정 RDP 관련 공격 방법을 사용한다는 사실을 확인했습니다. 첫 번째는 RD 웹 액세스 타이밍 공격으로, 봇넷이 끝점을 조사하고 익명 인증 중 서버 응답 시간의 차이를 측정하여 유효한 사용자 이름을 유추합니다. 두 번째 방법은 RDP 웹 클라이언트 로그인 열거형으로, 로그인 프로세스와 상호 작용하여 다양한 서버 동작과 응답을 관찰하여 사용자 계정을 식별합니다. 이 캠페인은 브라질에서 발생하는 트래픽이 비정상적으로 급증한 후에 처음 감지되었습니다. 이후 아르헨티나, 이란, 중국, 멕시코, 러시아, 남아프리카공화국, 에콰도르 등 다른 국가에서도 활동이 시작되었습니다. GreyNoise에 따르면 봇넷을 구성하는 손상된 장치는 100개 이상의 국가에 위치해 있습니다. 기술적 분석에 따르면 거의 모든 공격 IP 주소가 공통 TCP 지문을 공유하는 것으로 나타났습니다. 최대 세그먼트 크기의 사소한 변화는 봇넷 내의 다양한 클러스터로 인해 발생하는 것으로 여겨집니다. 이 위협을 완화하기 위해 GreyNoise는 시스템 관리자가 식별된 공격 IP 주소를 차단하고 시스템 로그에서 의심스러운 RDP 탐색 징후를 검토할 것을 권장합니다. 보안 모범 사례에 따라 조직에서는 RDP 서비스를 공용 인터넷에 직접 노출하지 않는 것이 좋습니다. VPN(가상 사설망)을 구현하고 MFA(다단계 인증)를 요구하면 이러한 공격에 대한 추가 보호 계층을 제공할 수 있습니다.

  Meta, 새로운 Quest Pro VR 헤드셋 발표: 사양, 가격 및 출시일

Source: GreyNoise는 RDP 서비스를 공격하는 100,000개의 IP 봇넷을 탐지합니다.