Một chiến dịch botnet quy mô lớn, được phối hợp chặt chẽ đang tích cực nhắm mục tiêu vào các dịch vụ Giao thức Remote Desktop (RDP) trên khắp Hoa Kỳ.
Công ty bảo mật GreyNoise đã báo cáo vào ngày 8 tháng 10 năm 2025 rằng họ đã theo dõi một làn sóng tấn công đáng kể xuất phát từ hơn 100.000 địa chỉ IP riêng biệt trải dài trên hơn 100 quốc gia.
Chiến dịch này dường như được điều khiển tập trung, với mục tiêu chính là xâm nhập cơ sở hạ tầng RDP, một thành phần quan trọng cho công việc và quản trị từ xa.
Quy mô và tính chất có tổ chức của chiến dịch này gây ra mối đe dọa đáng kể cho các tổ chức phụ thuộc vào RDP cho hoạt động hàng ngày của họ.
Cuộc điều tra về cuộc tấn công lan rộng này bắt đầu sau khi các nhà phân tích của GreyNoise phát hiện lưu lượng truy cập tăng đột biến bất thường từ các địa chỉ IP được định vị tại Brazil.
Phát hiện ban đầu này đã thúc đẩy một phân tích rộng hơn, nhanh chóng phát hiện ra các hoạt động tăng đột biến tương tự từ nhiều quốc gia, bao gồm Argentina, Iran, Trung Quốc, Mexico, Nga và Nam Phi. Mặc dù có nguồn gốc địa lý đa dạng, các cuộc tấn công có chung một mục tiêu: các dịch vụ RDP tại Hoa Kỳ.
Các nhà phân tích rất tin tưởng rằng hoạt động này là do một mạng botnet quy mô lớn duy nhất thực hiện. Kết luận này được củng cố bởi thực tế là hầu hết các địa chỉ IP tham gia đều có dấu vân tay TCP tương tự nhau. Dấu hiệu kỹ thuật này cho thấy một cấu trúc chỉ huy và kiểm soát tập trung, tiêu chuẩn đang điều hành các cuộc tấn công.
Những kẻ tấn công đứng sau chiến dịch này đang sử dụng hai vectơ tấn công cụ thể để xác định và xâm nhập các hệ thống dễ bị tấn công.
Phương pháp đầu tiên là tấn công định thời RD Web Access, một phương pháp mà kẻ tấn công đo thời gian phản hồi của máy chủ đối với các nỗ lực đăng nhập để phân biệt tên người dùng hợp lệ và không hợp lệ một cách ẩn danh.
Phương pháp thứ hai là liệt kê đăng nhập máy khách web RDP, nhằm đoán thông tin đăng nhập của người dùng một cách có hệ thống. Các phương pháp này cho phép botnet quét và xác định hiệu quả các điểm truy cập RDP có thể khai thác mà không cần kích hoạt ngay lập tức các cảnh báo bảo mật tiêu chuẩn.
Việc sử dụng đồng bộ các phương pháp tấn công cụ thể, không tầm thường này trên một số lượng lớn các nút như vậy càng cho thấy một hoạt động được phối hợp quản lý bởi một nhà điều hành hoặc một nhóm duy nhất.
Các biện pháp giảm thiểu
Để ứng phó với mối đe dọa đang diễn ra này, GreyNoise đã đưa ra các khuyến nghị cụ thể cho các nhà bảo vệ mạng. Công ty khuyến cáo các tổ chức nên kiểm tra nhật ký bảo mật của mình để phát hiện bất kỳ hoạt động thăm dò RDP bất thường nào chủ động hoặc các nỗ lực đăng nhập không thành công trùng khớp với các mô hình của chiến dịch này.
Để bảo vệ trực tiếp hơn, GreyNoise đã tạo một mẫu danh sách chặn động, có tên là “microsoft-rdp-botnet-oct-25”, có sẵn trên nền tảng của mình.
Tính năng này cho phép khách hàng tự động chặn tất cả các địa chỉ IP đã biết liên quan đến hoạt động botnet độc hại này, từ đó ngăn chặn hiệu quả các cuộc tấn công từ xa.
Các tổ chức sử dụng RDP cho công việc từ xa nên kiểm tra bảo mật RDP của mình. Họ cần áp dụng chính sách mật khẩu mạnh và sử dụng xác thực đa yếu tố bất cứ khi nào có thể. Điều này sẽ giúp bảo vệ chống lại các nỗ lực tấn công quy mô lớn, chẳng hạn như tấn công brute-force.