Скоординированная разведывательная операция на 251 вредоносном IP-адресе выявлена в Японии
8 мая была обнаружена масштабная и тщательно спланированная разведывательная операция с использованием 251 вредоносного IP-адреса, геолокализованных в Японии и размещённых на инфраструктуре Amazon AWS. В течение одного дня с этих адресов осуществлялось 75 различных систематических операций сканирования, направленных на выявление и эксплуатацию известных уязвимостей в веб-сервисах.
Особенности атаки: методы и технологии
Операция включала попытки использования ряда известных уязвимостей (CVE), а также поиск неправильных настроек веб-инфраструктуры. Все IP-адреса были классифицированы как вредоносные исследовательской платформой GreyNoise, которая специализируется на анализе сканирующей активности в интернете.
Для проведения сканирования злоумышленники активно применяли следующие технологии и сервисы:
- ColdFusion (CVE-2018-15961)
- Apache Struts (CVE-2017-5638)
- Elasticsearch Groovy (CVE-2015-1427)
- WebLogic
- Tomcat
Кроме того, были задействованы методы разведки:
- проверка авторства WordPress;
- сканирование CGI-скриптов;
- исследование неправильной конфигурации, включая обход настроек Git и выявление переменных среды.
Координация и использование арендованной инфраструктуры
Анализ логов показал, что данные IP-адреса функционировали без сбоев как до, так и после операции, что указывает на вероятное использование арендованной облачной инфраструктуры для проведения активностей. Тесная координация действий между различными IP-адресами подтверждает намеренный характер операции, а схожесть в поведении и наборе уязвимостей — это не случайный, а тщательно спланированный процесс.
Рекомендации по защите
В связи с выявленными угрозами специалисты GreyNoise рекомендуют организациям:
- немедленно заблокировать 251 обнаруженный вредоносный IP-адрес;
- внедрить стратегии динамической блокировки IP-адресов для предотвращения повторных попыток атак;
- внимательно отслеживать журналы событий и проявлять бдительность при обнаружении подозрительной активности;
- быть готовыми к появлению новых попыток эксплуатации уязвимостей, включая возможные атаки нулевого дня на основе подобного разведывательного сканирования.
Скоординированные сканирования, подобные этому, традиционно предшествуют более сложным атакам и могут стать индикатором подготовки больших кампаний эксплуатации уязвимостей. Таким образом, своевременное реагирование и меры по ограничению доступа играют ключевую роль в обеспечении безопасности корпоративных и государственных ресурсов.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Скоординированное сканирование 251 вредоносным IP из Японии на AWS".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.