【安全圈】50万IP疯狂轰炸南美RDP服务

关键词

网络攻击

近日，网络安全监测机构 GreyNoise 披露，一场持续的大规模网络攻击正在针对微软远程桌面协议（RDP）服务进行。自2025年9月以来，攻击者每日部署超过3万条新的IP地址发动攻击，累计已超过50万独立IP参与，形成了一个分布广泛的全球僵尸网络。

这轮攻击行动主要集中在美国境内的远程桌面系统，攻击源头则以巴西为主，占比高达63%，其次为阿根廷（14%）与墨西哥（3%）。GreyNoise分析认为，这一分布特征显示出攻击活动极可能由单一威胁组织集中控制，具备高度协调性与自动化水平。

技术上，攻击者主要利用两类手段实施渗透：一是针对 RD Web Access 的匿名认证定时攻击（timing-based authentication attacks），二是通过 RDP Web Client 的登录枚举检查（login enumeration）来探测账户存在性。这些方法能够在不触发安全告警的情况下实现探测与暴力破解，配合快速切换的IP地址，使传统的静态封锁手段几乎失效。

GreyNoise 于2025年10月8日首次发现该僵尸网络异常增长，当时来自巴西的流量激增，并呈现出数千个端点具有相似的TCP指纹特征。短短一周后，到10月14日，攻击参与的IP数量已飙升至30万，并在10月15日突破50万大关，显示出攻击基础设施正在持续扩张。

研究人员指出，这种“高流动性IP攻击”正在成为网络犯罪新趋势。攻击者通过快速更换节点、伪造地理来源，极大增加了追踪与阻断的难度。对于依赖远程访问的企业而言，RDP仍是最容易被利用的攻击入口之一，也是勒索软件入侵与数据泄露的主要通道。

目前，GreyNoise正在持续监测该攻击活动，并建议企业安全团队重点检查日志中是否存在异常的RDP探测行为。专家提醒，依靠传统IP封禁已不足以防御此类攻击，应结合实时威胁情报、异常行为检测及多因素认证手段，构建更具弹性的远程访问安全策略。

这一僵尸网络从最初的10万节点迅速扩展至50万以上，意味着攻击规模可能继续升级。对于美国乃至全球依赖远程办公的组织而言，这场针对RDP的隐蔽攻势正在考验网络防御体系的韧性。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！