Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Масштабные OAST-сканирования и эксплойты CVE в феврале 2026

1
4 мин
В период с 7 по 13 февраля 2026 года аналитики GreyNoise зафиксировали интенсивную киберактивность, связанную с тестированием и эксплуатацией уязвимостей. В отчёте описаны 6197 сеансов с 79 уникальных IP-адресов, объединённых в 73 кампании в рамках OAST в Interactsh. Наблюдаемая инфраструктура использовала как публичные прокси и облачные ресурсы, так и частные хостинги, что указывает на скоординированные и разнородные операции злоумышленников. Активность была распределена между несколькими группами и кластерами. Наиболее заметные из них: Анализ payload выявил разнообразие методов злоупотребления уязвимостями: «Наблюдаемая инфраструктура охватывала конечные точки с прокси-сервером Cloudflare, Oracle Cloud и частные хостинговые решения, базирующиеся во Вьетнаме», — отмечает GreyNoise. Данные указывают на несколько параллельно действующих операционных групп, использующих взаимосвязанную инфраструктуру. Ключевые характеристики наблюдаемой кампании: С учётом обнаруженных методов и фокуса на
Оглавление

В период с 7 по 13 февраля 2026 года аналитики GreyNoise зафиксировали интенсивную киберактивность, связанную с тестированием и эксплуатацией уязвимостей. В отчёте описаны 6197 сеансов с 79 уникальных IP-адресов, объединённых в 73 кампании в рамках OAST в Interactsh. Наблюдаемая инфраструктура использовала как публичные прокси и облачные ресурсы, так и частные хостинги, что указывает на скоординированные и разнородные операции злоумышленников.

Краткие факты

  • Сеансов: 6197
  • Уникальных IP: 79
  • Кампаний OAST в Interactsh: 73
  • Вариантов доменов Interactsh: 5
  • Методов использования CVE: более 100
  • Ключевые уязвимости в фокусе: CVE-2026-1281 (Ivanti Endpoint Manager Mobile), CVE-2026-0770, Log4j

Ключевые наблюдения и наиболее заметные кампании

Активность была распределена между несколькими группами и кластерами. Наиболее заметные из них:

  • Операция «ibe4q» — сканирование через прокси Cloudflare, ответственное за 3157 обращений, исходивших с 9 бразильских IP-адресов. Это указывает на целенаправленные и концентрированные попытки использования множества уязвимостей.
  • Кампания «bjibe» — использовала все шесть методов введения OAST, что свидетельствует о системном подходе к тестированию и оценке уязвимости целевых сред.
  • Облачные сканеры Oracle — идентифицированы как важный источник активности, особенно в попытках эксплуатации CVE-2026-1281 и CVE-2026-0770.
  • PROSPERO OOO — кампании, сфокусированные преимущественно на эксплуатации уязвимости Ivanti; стиль активности указывает на методологию нацеленных атак.
  • Кампания, связанная со швейцарской IP-компанией, продемонстрировала автоматизацию: непрерывная работа в течение недели.
  • Кластеры с голландскими IP показывают повторяющиеся отпечатки JA3, что предполагает использование общих инструментов или общей инфраструктуры.

Технический анализ полезной нагрузки и методов атак

Анализ payload выявил разнообразие методов злоупотребления уязвимостями:

  • Попытки RCE (Remote Code Execution) через уязвимости Log4j и Ivanti.
  • Сканирование на предмет command injection и path traversal.
  • Использование более 100 различных методов обращения к CVE — свидетельство широкого набора инструментов и шаблонов атаки.
  • Технические сложности и характерные аномалии при снятии отпечатков TCP, которые помогли дифференцировать группы и уточнить географическое распределение активности.
«Наблюдаемая инфраструктура охватывала конечные точки с прокси-сервером Cloudflare, Oracle Cloud и частные хостинговые решения, базирующиеся во Вьетнаме», — отмечает GreyNoise.

Поведение инфраструктуры и оперативные выводы

Данные указывают на несколько параллельно действующих операционных групп, использующих взаимосвязанную инфраструктуру. Ключевые характеристики наблюдаемой кампании:

  • Комбинация автоматизированных и ручных методов сканирования.
  • Стратегическое проведение одновременных кампаний для максимизации охвата доступных уязвимостей.
  • Закреплённые сканеры: многие IP-адреса уже ранее регистрировали высокую активность, что указывает на постоянные «ресурсы» для сканирования в распоряжении операторов.
  • Повторяющиеся JA3-отпечатки между кластерами свидетельствуют о возможном обмене инструментарием или общей поставленной платформе.

Последствия для организаций и рекомендации

С учётом обнаруженных методов и фокуса на CVE-2026-1281 и связанных эксплойтах, организациям рекомендуется незамедлительно предпринять следующие шаги:

  • Приоритетное управление исправлениями (patch management) — обеспечить применение патчей для Ivanti, компонентов, подверженных Log4j, и других релевантных библиотек.
  • Мониторинг OAST/Interactsh — отслеживать входящие интеракции и аномалии, связанные с Interactsh доменами и доменами-подделками.
  • Аудит и сегментация сети — ограничить возможности lateral movement и снизить эффект успешной компрометации.
  • Проверка и усиление защиты прокси/облачных точек (Cloudflare, Oracle Cloud и другие).
  • Повышение осведомлённости у команд DevOps и SecOps о текущих индикаторах компрометации и эксплойтах, особенно CVE-2026-1281 и CVE-2026-0770.
  • Логирование и анализ сетевых отпечатков — включить детальный сбор TCP-фингерпринтов и JA3 для корреляции с известными кампаниями.

Вывод

Анализ GreyNoise за 7–13 февраля 2026 демонстрирует организованную и многопрофильную кампанию сканирования и эксплуатации уязвимостей. Наблюдаемая координация между облачными сканерами, прокси-узлами и частными хостингами, а также активное использование широкого набора методов для работы с CVE, подчёркивают высокую степень риска для организаций, использующих уязвимые компоненты. Главный практический вывод — срочно усилить управление исправлениями и повышать оперативную готовность команд безопасности к обнаружению и реагированию на попытки эксплуатации, прежде всего связанных с CVE-2026-1281.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Масштабные OAST-сканирования и эксплойты CVE в феврале 2026".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.