RDP

Selon At-Bay, dans un cas observé, un utilisateur a été piégé par un empoisonnement SEO et a téléchargé une version trojanisée de PuTTY.exe, ouvrant la voie à Rhysida pour obtenir l’accès et la persistance au sein du réseau. L’acteur s’est ensuite déplacé latéralement via RDP (Remote Desktop Protocol), et a effectué une découverte réseau en s’appuyant sur l’outil Advanced Port Scanner. La phase d’exfiltration a été réalisée via des commandes azcopy, transférant avec succès plus de 100 000 fichiers vers un stockage Azure contrôlé par l’attaquant 📤. ...

Selon Cyber Security News, s’appuyant sur des observations de GreyNoise, une campagne de reconnaissance à grande échelle cible les services Microsoft RDP, en particulier RD Web Access et le client web RDP, avec plus de 30 000 adresses IP impliquées. 🚨 L’opération a débuté le 21 août 2025 avec près de 2 000 IPs puis a brusquement grimpé le 24 août à plus de 30 000 IPs utilisant des signatures client identiques, indiquant une infrastructure de botnet ou un outillage coordonné. Les chercheurs notent que 92 % de l’infrastructure de scan était déjà classée malveillante, avec un trafic source fortement concentré au Brésil (73 %), visant exclusivement des endpoints RDP basés aux États‑Unis. Sur les 1 971 hôtes initiaux, 1 851 partageaient des signatures client uniformes, suggérant un C2 centralisé typique d’opérations APT. ...

Source: Huntress — Contexte: billet de blog décrivant un incident récent où le ransomware KawaLocker (KAWA4096) a été déployé dans un environnement client, avec chronologie, outils utilisés et «breadcrumbs» de détection. Huntress a observé début août un accès initial via RDP à l’aide d’un compte compromis (08/08). Le threat actor a déployé kill.exe et l’outil HRSword (Huorong) pour surveiller le système et identifier/neutraliser des outils de sécurité (usage de tasklist.exe | find). Des services Windows associés à ces solutions ont ensuite crashé. Deux drivers noyau signés Huorong — sysdiag.sys et hrwfpdr.sys — ont été installés puis supprimés via sc.exe (sc start/stop/delete), confirmant l’usage d’outils liés à Beijing Huorong Network Technology. ...

L’article publié par The DFIR Report décrit une attaque sophistiquée exploitant un serveur RDP exposé pour obtenir un accès initial par une attaque de password spraying. Cette méthode a ciblé de nombreux comptes sur une période de quatre heures. Les attaquants ont utilisé des outils comme Mimikatz et Nirsoft pour récolter des identifiants, accédant notamment à la mémoire LSASS. Pour la phase de découverte, ils ont employé des binaries living-off-the-land ainsi que des outils comme Advanced IP Scanner et NetScan. ...

L’article de THE DFIR REPORT détaille une intrusion complexe survenue en novembre 2024, où des attaquants ont utilisé une attaque de Password Spray pour accéder à un serveur RDP exposé. Cette attaque a permis aux cybercriminels de compromettre plusieurs comptes utilisateurs sur une période de quatre heures. Une fois l’accès initial obtenu, les attaquants ont utilisé des outils tels que Mimikatz et Nirsoft CredentialsFileView pour récolter des identifiants, et ont mené des activités de reconnaissance à l’aide de commandes intégrées et d’outils tiers comme Advanced IP Scanner et NetScan. Ils ont également utilisé Rclone pour exfiltrer des données vers un serveur distant via SFTP. ...

Selon un article de Ars Technica, Microsoft a déclaré qu’il n’avait pas l’intention de modifier un protocole de connexion à distance dans Windows qui permet aux utilisateurs de se connecter à des machines en utilisant des mots de passe qui ont été révoqués. Le protocole de bureau à distance, un mécanisme propriétaire intégré à Windows pour permettre à un utilisateur distant de se connecter à et de contrôler une machine comme s’il était directement devant elle, continue dans de nombreux cas à faire confiance à un mot de passe même après qu’un utilisateur l’a changé. Microsoft affirme que ce comportement est une décision de conception pour garantir que les utilisateurs ne soient jamais bloqués. ...