СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 февраля
#ИБ#Инфра#Облака

Масштабные OAST-сканирования и эксплойты CVE в феврале 2026

В период с 7 по 13 февраля 2026 года аналитики GreyNoise зафиксировали интенсивную киберактивность, связанную с тестированием и эксплуатацией уязвимостей. В отчёте описаны 6197 сеансов с 79 уникальных IP-адресов, объединённых в 73 кампании в рамках OAST в Interactsh. Наблюдаемая инфраструктура использовала как публичные прокси и облачные ресурсы, так и частные хостинги, что указывает на скоординированные и разнородные операции злоумышленников.

Краткие факты

  • Сеансов: 6197
  • Уникальных IP: 79
  • Кампаний OAST в Interactsh: 73
  • Вариантов доменов Interactsh: 5
  • Методов использования CVE: более 100
  • Ключевые уязвимости в фокусе: CVE-2026-1281 (Ivanti Endpoint Manager Mobile), CVE-2026-0770, Log4j

Ключевые наблюдения и наиболее заметные кампании

Активность была распределена между несколькими группами и кластерами. Наиболее заметные из них:

  • Операция «ibe4q» — сканирование через прокси Cloudflare, ответственное за 3157 обращений, исходивших с 9 бразильских IP-адресов. Это указывает на целенаправленные и концентрированные попытки использования множества уязвимостей.
  • Кампания «bjibe» — использовала все шесть методов введения OAST, что свидетельствует о системном подходе к тестированию и оценке уязвимости целевых сред.
  • Облачные сканеры Oracle — идентифицированы как важный источник активности, особенно в попытках эксплуатации CVE-2026-1281 и CVE-2026-0770.
  • PROSPERO OOO — кампании, сфокусированные преимущественно на эксплуатации уязвимости Ivanti; стиль активности указывает на методологию нацеленных атак.
  • Кампания, связанная со швейцарской IP-компанией, продемонстрировала автоматизацию: непрерывная работа в течение недели.
  • Кластеры с голландскими IP показывают повторяющиеся отпечатки JA3, что предполагает использование общих инструментов или общей инфраструктуры.

Технический анализ полезной нагрузки и методов атак

Анализ payload выявил разнообразие методов злоупотребления уязвимостями:

  • Попытки RCE (Remote Code Execution) через уязвимости Log4j и Ivanti.
  • Сканирование на предмет command injection и path traversal.
  • Использование более 100 различных методов обращения к CVE — свидетельство широкого набора инструментов и шаблонов атаки.
  • Технические сложности и характерные аномалии при снятии отпечатков TCP, которые помогли дифференцировать группы и уточнить географическое распределение активности.

«Наблюдаемая инфраструктура охватывала конечные точки с прокси-сервером Cloudflare, Oracle Cloud и частные хостинговые решения, базирующиеся во Вьетнаме», — отмечает GreyNoise.

Поведение инфраструктуры и оперативные выводы

Данные указывают на несколько параллельно действующих операционных групп, использующих взаимосвязанную инфраструктуру. Ключевые характеристики наблюдаемой кампании:

  • Комбинация автоматизированных и ручных методов сканирования.
  • Стратегическое проведение одновременных кампаний для максимизации охвата доступных уязвимостей.
  • Закреплённые сканеры: многие IP-адреса уже ранее регистрировали высокую активность, что указывает на постоянные «ресурсы» для сканирования в распоряжении операторов.
  • Повторяющиеся JA3-отпечатки между кластерами свидетельствуют о возможном обмене инструментарием или общей поставленной платформе.

Последствия для организаций и рекомендации

С учётом обнаруженных методов и фокуса на CVE-2026-1281 и связанных эксплойтах, организациям рекомендуется незамедлительно предпринять следующие шаги:

  • Приоритетное управление исправлениями (patch management) — обеспечить применение патчей для Ivanti, компонентов, подверженных Log4j, и других релевантных библиотек.
  • Мониторинг OAST/Interactsh — отслеживать входящие интеракции и аномалии, связанные с Interactsh доменами и доменами-подделками.
  • Аудит и сегментация сети — ограничить возможности lateral movement и снизить эффект успешной компрометации.
  • Проверка и усиление защиты прокси/облачных точек (Cloudflare, Oracle Cloud и другие).
  • Повышение осведомлённости у команд DevOps и SecOps о текущих индикаторах компрометации и эксплойтах, особенно CVE-2026-1281 и CVE-2026-0770.
  • Логирование и анализ сетевых отпечатков — включить детальный сбор TCP-фингерпринтов и JA3 для корреляции с известными кампаниями.

Вывод

Анализ GreyNoise за 7–13 февраля 2026 демонстрирует организованную и многопрофильную кампанию сканирования и эксплуатации уязвимостей. Наблюдаемая координация между облачными сканерами, прокси-узлами и частными хостингами, а также активное использование широкого набора методов для работы с CVE, подчёркивают высокую степень риска для организаций, использующих уязвимые компоненты. Главный практический вывод — срочно усилить управление исправлениями и повышать оперативную готовность команд безопасности к обнаружению и реагированию на попытки эксплуатации, прежде всего связанных с CVE-2026-1281.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: