Злоумышленники используют RDP Windows для усиления DDoS-потока в 86 раз

Татьяна Никитина 22 Января 2021 - 14:58

...

Злоумышленники используют RDP Windows для усиления DDoS-потока в 86 раз

Эксперты Netscout предупреждают о возможности использования RDP-серверов Windows в DDoS-атаках с отражением и увеличением потока мусорных пакетов (reflection / amplification). Такую возможность уже предлагают теневые сервисы; зафиксированы атаки мощностью от 20 до 750 Гбит/с с коэффициентом усиления 85,9.

Служба RDP Windows обычно работает на портах TCP/3389 и UDP/3389. В данном случае злоумышленники используют порт UDP/3389, чтобы создать внушительный DDoS-поток и направить его на мишень. Размер исходящих сетевых пакетов при этом составляет 1260 байт — намного больше, чем при обычном RDP-обмене.

На настоящий момент экспертам удалось выявить около 14 тыс. RDP-серверов Windows, которые можно использовать в качестве посредников в DDoS-атаках. Хуже всего то, что DDoS с RDP-усилением уже включены в ассортимент услуг, предлагаемых на специализированных сайтах. Теневые DDoS-сервисы (их обычно называют booter или stresser) сильно снижают планку для начинающих дидосеров, и таких платформ в интернете много.

Использование RDP-сервера для усиления и отражения DDoS-потока может привести к отказу службы удаленного доступа из-за перегрузки на каналах. Файрвол и балансировщик нагрузки тоже могут не справиться с нештатной ситуацией.

Защитить от подобных злоупотреблений может фильтрация трафика на порту UDP/3389, однако эта мера не дает гарантий, что легитимный RDP-обмен не пострадает. Вместо этого эксперты советуют ограничить доступ к RDP-серверам, разрешив его только по VPN. При отсутствии такой возможности доступ через UDP/3389 лучше отключить.

Стоит отметить, что RDP Windows — не единственная служба удаленного доступа, привлекшая внимание дидосеров. В середине 2019 года исследователи из Netscout зафиксировали DDoS с усилением через ARMS. Служба удаленного доступа Apple работает на порту UDP/3283 macOS-серверов; как оказалось, ее тоже можно использовать для проведения DDoS-атак. На тот момент злоумышленникам удалось создать мусорный поток в 75 Гбит/с при скорости передачи пакетов 11 млн/с (Mpps).

Коэффициент усиления при этом составил 35,5. Почти такого же результата (36:1) добились авторы недавней DDoS-атаки с использованием DTLS-рефлекторов, хотя в этом случае он теоретически может быть на один-два порядка выше.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 04 Июня 2026 - 11:15

Трояны Фишинг Социальная инженерия Мошенничество Онлайн-мошенничество Домашние пользователи F6

Новые кибершпионы охотятся за аккаунтами российских военных в Telegram

Специалисты «Эфшесть/F6» рассказали о новой кибершпионской группировке SiribClone, которая охотится за военнослужащими ВС РФ на приграничных территориях и в зоне проведения СВО. Цель у злоумышленников простая: добраться до телеграм-аккаунтов, переписки, контактов, геолокации и содержимого устройств.

По данным исследователей, следы активности группы нашли в феврале 2026 года, но первые атаки могли начаться ещё летом 2025-го.

Работают злоумышленники сразу по двум направлениям: заражают компьютеры и смартфоны шпионскими программами, а также крадут телеграм-сессии через фейковые страницы аутентификации.

Для десктопов атакующие используют вредоносную программу SiribGrabber. Её распространяли под видом архивов с якобы ведомственными документами. Позже схему обновили: злоумышленники сделали фейковый сайт движения «Бессмертный полк», где при нажатии на кнопку «Принять участие» скачивался архив с вредоносной начинкой.

Со смартфонами схема ещё грязнее. Атакующие знакомятся с военными в мессенджерах и приложениях для знакомств под видом девушек. Дальше классика социальной инженерии: посмотри приложение, давай безопасно обмениваться фото, я программист, протестируй. В итоге жертве подсовывают APK-файл Safeintim, SafeintimZ или ZafeintimZ.

На деле это не приложение для обмена фото, а шпионская программа SafeLoveStealer. Она имитирует нормальную работу, но параллельно передаёт злоумышленникам данные устройства: фото, видео, документы, геопозицию, параметры сети и Wi-Fi. Также она может записывать звук с микрофона. То есть смартфон превращается в карманного осведомителя.

Есть и второй сценарий: атакующие изображают волонтёров и предлагают заполнить форму для получения гуманитарной помощи. Финал тот же — фишинг, вредоносная программа или попытка угнать Telegram.

«Эфшесть/F6» также обнаружила фейковые страницы входа в Telegram: под облачное хранилище, сообщества, результаты анализов и другие приманки. Пользователя просят ввести номер, код и 2FA-пароль. После этого переписка фактически уходит на сторону.

Судя по найденным заметкам злоумышленников, это не случайный криминал ради галочки, а именно военный шпионаж.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!