RDP

Selon Acronis, des tendances récentes montrent une préférence des attaquants pour des approches simples et peu coûteuses, avec un accès initial via RDP et l’usage d’outillage prêt à l’emploi pour progresser dans les réseaux compromis. L’analyse souligne que la plupart des victimes sont compromises par RDP. Après l’accès initial, les acteurs utilisent des outils standards pour la découverte et le mouvement latéral, ainsi que des exploits d’escalade de privilèges (LPE), des AV killers (notamment via des drivers vulnérables), des terminateurs de processus, des désinstalleurs ciblés et des outils d’accès aux identifiants comme Mimikatz. ...

Source: The DFIR Report — Enquête technique détaillée sur une intrusion aboutissant au déploiement de Lynx ransomware dans un environnement Windows/AD, avec mouvement latéral, exfiltration de données et sabotage des sauvegardes. L’intrusion débute par un logon RDP réussi sur un hôte exposé, à l’aide d’identifiants déjà compromis (probablement via infostealer, réutilisation ou IAB). En 10 minutes, l’acteur passe sur un contrôleur de domaine avec un autre compte Domain Admin compromis, crée des comptes look‑alike (dont “administratr”) et les ajoute à des groupes privilégiés. Il installe AnyDesk pour la persistance (non réutilisé ensuite), cartographie l’infrastructure (Hyper‑V, partages) via SoftPerfect NetScan, puis fait une pause. ...

Source: GreyNoise — Le fournisseur de threat intelligence rapporte l’identification d’une opération botnet à grande échelle et centralisée, débutée le 8 octobre 2025, ciblant l’infrastructure RDP aux États‑Unis. 🚨 L’opération utilise deux méthodes principales d’attaque: Microsoft RD Web Access Anonymous Authentication Timing Attack Scanner et Microsoft RDP Web Client Login Enumeration Check. Les schémas d’activité indiquent une campagne coordonnée visant à sonder et énumérer les accès RDP exposés aux États‑Unis. ...

Selon At-Bay, dans un cas observé, un utilisateur a été piégé par un empoisonnement SEO et a téléchargé une version trojanisée de PuTTY.exe, ouvrant la voie à Rhysida pour obtenir l’accès et la persistance au sein du réseau. L’acteur s’est ensuite déplacé latéralement via RDP (Remote Desktop Protocol), et a effectué une découverte réseau en s’appuyant sur l’outil Advanced Port Scanner. La phase d’exfiltration a été réalisée via des commandes azcopy, transférant avec succès plus de 100 000 fichiers vers un stockage Azure contrôlé par l’attaquant 📤. ...

Selon Cyber Security News, s’appuyant sur des observations de GreyNoise, une campagne de reconnaissance à grande échelle cible les services Microsoft RDP, en particulier RD Web Access et le client web RDP, avec plus de 30 000 adresses IP impliquées. 🚨 L’opération a débuté le 21 août 2025 avec près de 2 000 IPs puis a brusquement grimpé le 24 août à plus de 30 000 IPs utilisant des signatures client identiques, indiquant une infrastructure de botnet ou un outillage coordonné. Les chercheurs notent que 92 % de l’infrastructure de scan était déjà classée malveillante, avec un trafic source fortement concentré au Brésil (73 %), visant exclusivement des endpoints RDP basés aux États‑Unis. Sur les 1 971 hôtes initiaux, 1 851 partageaient des signatures client uniformes, suggérant un C2 centralisé typique d’opérations APT. ...

Source: Huntress — Contexte: billet de blog décrivant un incident récent où le ransomware KawaLocker (KAWA4096) a été déployé dans un environnement client, avec chronologie, outils utilisés et «breadcrumbs» de détection. Huntress a observé début août un accès initial via RDP à l’aide d’un compte compromis (08/08). Le threat actor a déployé kill.exe et l’outil HRSword (Huorong) pour surveiller le système et identifier/neutraliser des outils de sécurité (usage de tasklist.exe | find). Des services Windows associés à ces solutions ont ensuite crashé. Deux drivers noyau signés Huorong — sysdiag.sys et hrwfpdr.sys — ont été installés puis supprimés via sc.exe (sc start/stop/delete), confirmant l’usage d’outils liés à Beijing Huorong Network Technology. ...

L’article publié par The DFIR Report décrit une attaque sophistiquée exploitant un serveur RDP exposé pour obtenir un accès initial par une attaque de password spraying. Cette méthode a ciblé de nombreux comptes sur une période de quatre heures. Les attaquants ont utilisé des outils comme Mimikatz et Nirsoft pour récolter des identifiants, accédant notamment à la mémoire LSASS. Pour la phase de découverte, ils ont employé des binaries living-off-the-land ainsi que des outils comme Advanced IP Scanner et NetScan. ...

L’article de THE DFIR REPORT détaille une intrusion complexe survenue en novembre 2024, où des attaquants ont utilisé une attaque de Password Spray pour accéder à un serveur RDP exposé. Cette attaque a permis aux cybercriminels de compromettre plusieurs comptes utilisateurs sur une période de quatre heures. Une fois l’accès initial obtenu, les attaquants ont utilisé des outils tels que Mimikatz et Nirsoft CredentialsFileView pour récolter des identifiants, et ont mené des activités de reconnaissance à l’aide de commandes intégrées et d’outils tiers comme Advanced IP Scanner et NetScan. Ils ont également utilisé Rclone pour exfiltrer des données vers un serveur distant via SFTP. ...

Selon un article de Ars Technica, Microsoft a déclaré qu’il n’avait pas l’intention de modifier un protocole de connexion à distance dans Windows qui permet aux utilisateurs de se connecter à des machines en utilisant des mots de passe qui ont été révoqués. Le protocole de bureau à distance, un mécanisme propriétaire intégré à Windows pour permettre à un utilisateur distant de se connecter à et de contrôler une machine comme s’il était directement devant elle, continue dans de nombreux cas à faire confiance à un mot de passe même après qu’un utilisateur l’a changé. Microsoft affirme que ce comportement est une décision de conception pour garantir que les utilisateurs ne soient jamais bloqués. ...