403/68 (IT) ประจำวันพุธที่ 15 ตุลาคม 2568
ทีมนักวิจัยจากแพลตฟอร์ม Threat Monitoring GreyNoise ตรวจพบแคมเปญโจมตีขนาดใหญ่ที่ใช้ Botnet กว่า 100,000 IP Address ทั่วโลก เพื่อเจาะระบบ Remote Desktop Protocol (RDP) Services ในสหรัฐอเมริกา โดยเริ่มขึ้นเมื่อวันที่ 8 ตุลาคม 2025 ซึ่งมีต้นทางการโจมตีมาจากหลายประเทศ เช่น บราซิล อาร์เจนตินา อิหร่าน จีน เม็กซิโก รัสเซีย แอฟริกาใต้ และเอกวาดอร์ แสดงให้เห็นถึงการใช้โครงสร้าง Botnet ที่มีเครือข่ายกระจายตัวในหลายประเทศ
การโจมตีมุ่งไปที่ RDP Web Access และ RDP Web Client โดยอาศัยสองเทคนิคหลัก ได้แก่
– RD Web Access Timing Attack: โดยผู้โจมตีจะวัดความต่างของเวลาในการตอบสนองของเซิร์ฟเวอร์ในขั้นตอนตรวจสอบสิทธิ์แบบไม่ระบุตัวตน เพื่อนำมาคาดการณ์ว่า username ใดมีอยู่จริง
– RDP Web Client Login Enumeration: ผู้โจมตีโต้ตอบกับกระบวนการล็อกอินของ RDP Web Client โดยป้อนชื่อผู้ใช้ทีละรายการและสังเกตความแตกต่างของการตอบสนองเพื่อยืนยันบัญชีที่มีอยู่จริง
GreyNoise ระบุว่าเกือบทั้งหมดของ IP Address ที่ใช้โจมตีมี TCP Fingerprint เหมือนกัน แม้จะมีความแตกต่างด้านค่า Maximum Segment Size (MSS) ที่คาดว่าเกิดจากการแบ่ง Cluster ของ Botnet โดยนักวิจัยแนะนำให้ผู้ดูแลระบบทำการบล็อก IP ที่เกี่ยวข้อง ตรวจสอบ Log การใช้งาน RDP อย่างละเอียด และไม่ควรเปิด Remote Desktop Connection สู่สาธารณะโดยตรง พร้อมเพิ่มการเชื่อมต่อผ่าน VPN และบังคับใช้ Multi-Factor Authentication (MFA) เพื่อเสริมความปลอดภัยและลดความเสี่ยงจากการถูกโจมตี
