資安警報！逾3萬個IP地址大規模掃描微軟RDP服務 恐為大型攻擊前兆

記者孫敬／編譯

一場大規模的協同掃描活動正鎖定微軟的遠端桌面協定（RDP）服務。外媒報導，已有駭客部署超過3萬個獨特的IP位址，來探測微軟RD Web Access和RDP Web Client驗證入口網站的漏洞，這也是近年來觀察到最大規模的RDP偵察行動之一，預示著潛在的大規模憑證攻擊即將來臨。

延伸閱讀：ChatGPT驚爆資安漏洞 惡意提示詞竟能藏在「帳號名稱」中

這場掃描行動始於8月21日，第一波攻擊動用了近2,000個 IP 位址，同時鎖定微軟的Microsoft RD Web Access和Microsoft RDP Web Client 服務。隨後攻擊在8月24日急遽升級，資安研究人員偵測到超過3萬個獨特IP位址，以相同的客戶端簽名進行協同探測。這表明背後是一個複雜的殭屍網路（botnet）或是有組織的工具部署。

資安公司GreyNoise的報告稱，這場攻擊利用一種名為「Timing-based authentication enumeration」的技術。駭客藉由利用伺服器回應時間的細微差異，來識別有效的用戶名稱，同時規避傳統的暴力破解偵測機制，讓攻擊者在不被察覺的情況下，建立完整的目標清單，以用於後續的憑證填充（Credential stuffing）和密碼噴灑（Password spraying）攻擊。

目標鎖定美國開學季，勒索軟體攻擊箭在弦上

根據網路遙測分析，高達92%的掃描基礎設施，都是過去被歸類為惡意的IP位址。流量來源高度集中在巴西（佔觀測來源的73%），但攻擊目標則全部鎖定美國的RDP端點。

這次攻擊的時間點，恰逢美國的開學季，此時教育機構通常會為新生部署遠端存取系統。由於學校網路經常使用可預測的用戶名稱格式（例如學號或姓名縮寫），這使得駭客能更輕易地進行枚舉攻擊（Enumeration Attack），從而建立完整的目標資料庫，為未來的漏洞利用行動做準備。

歷史資安分析顯示，針對特定技術的協同掃描活動，往往會在六週內發現或利用零日漏洞（Zero-day vulnerabilities）。研究人員指出，這場大規模的RDP掃描行動代表駭客的能力已顯著升級，很可能正在為大規模的勒索軟體部署、憑證竊取，或利用未知的RDP漏洞做準備。因此，建議所有營運微軟RDP服務的組織，應立即採取強化措施，並密切監控後續的攻擊嘗試。

資料來源：Cyber Security News