СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:23
#ИБ

Массовое сканирование уязвимостей: Nuclei, OAST и Log4j

В течение недели, закончившейся 6 февраля 2026 года, аналитики GreyNoise Labs зафиксировали заметную волну сканирования и OAST-обратных вызовов, связанной с разведкой уязвимостей. Активность отличалась высоким разнообразием целей и инструментов и носила, по оценке исследователей, преимущественно децентрализованный и оппортунистический характер.

Ключевые показатели

  • 3979 HTTP-сессий, сгенерированных по 245 уникальным IP-адресам;
  • 82 отдельных кампании сканирования, связанных с OAST-обратными вызовами;
  • аномальные TCP-отпечатки, сопоставленные со сканером Nuclei, зафиксированы на 20 хостах;
  • существенный всплеск 6 февраля — 214 уникальных IP (обычный базовый показатель 6–12);
  • активность охватила 196 различных классов уязвимостей, включая Java-deserialization и уязвимости в корпоративном ПО, таком как Atlassian Confluence и различные CMS.

Наиболее заметные кампании

Кампания 01p6c — массовая концентрация вокруг одного домена

Основной рост 6 февраля был вызван кампанией 01p6c, в рамках которой 204 уникальных IP-адреса взаимодействовали с одним доменом OAST. Такое сосредоточение указывает на использование общего или повторно используемого домена OAST и может свидетельствовать о попытке массовой эксплуатации через единую инфраструктуру.

Кампания lftn9 — широкая мультивекторная разведка

  • 652 сеанса, исходившие с одного IP, связанного с RouterHosting LLC;
  • нацелен широкий спектр уязвимостей — в числе целей были хорошо известные проблемы, включая Log4j и конкретные CVE;
  • использовано более 300 различных тегов уязвимостей, что указывает на попытки массовой проверки большого набора эксплойтов и минимальную селекцию целей по уровню критичности.

Кампания 7bm4o — фокус на Log4j и десериализацию в React

  • 545 сеансов, зафиксированных в трёх исполнениях, — все от одного IP, относимого к netcup GmbH;
  • специфический фокус на уязвимостях, связанных с Log4j и проблемах десериализации в server-side компонентах React.

Технические признаки и используемые инструменты

Анализ JA4-отпечатков выявил присутствие MSS 65495 — уникального идентификатора, связанного со сканером уязвимостей Nuclei. Эта конфигурация встречалась в трафике с 20 различных IP-адресов, распределённых по нескольким ASN, включая netcup и RouterHosting. Аномальные TCP-отпечатки, использованные для идентификации, дополнительно подтверждают широкое использование автоматизированных сканеров.

Характер атак и распределение активности

Несколько наблюдений, которые важны для понимания происходящего:

  • Отсутствие существенной привязки к единым злоумышленникам: кампании распределены по разным источникам и редко дублируют IP-адреса.
  • Разнообразие источников инфраструктуры и сценариев таргетинга — от широкого мультивекторного сканирования до узконаправленных проверок на конкретные уязвимости.
  • Временное распределение активности не демонстрирует очевидных синхронизированных паттернов, что подчеркивает децентрализованный и оппортунистический характер кампаний.

«Наблюдаемая активность включала независимые операции с минимальным дублированием IP-адресов и разнообразным набором источников инфраструктуры», — отмечают аналитики GreyNoise Labs.

Выводы и практические рекомендации

События недели указывают на высокий уровень автоматизации и массовости в современных операциях по разведке уязвимостей. Ключевые выводы и рекомендации для организаций:

  • повышенное внимание к OAST-обратным вызовам: мониторить и логировать все внешние обратные вызовы, особенно к неизвестным доменам;
  • приоритизация исправлений для уязвимостей, часто используемых в сканах (включая Log4j и десериализацию Java/React-компонентов);
  • анализ и фильтрация аномальных TCP-отпечатков и JA4-данных для быстрого обнаружения автоматизированных сканеров, таких как Nuclei (MSS 65495);
  • ограничение возможности массового использования общей инфраструктуры OAST путем внедрения уникальных доменов/токенов для тестов и контроля доступа;
  • интеграция сигналов из внешних источников (Threat Intelligence) для раннего обнаружения кампаний, которые используют известные теги и CVE.

В целом зафиксированная активность служит напоминанием: даже если атаки выглядят разрозненными, массовая автоматизация и доступность инструментов делают их потенциально опасными. Внимательный мониторинг, быстрая коррекция критических уязвимостей и детальный анализ обратных вызовов OAST остаются ключевыми элементами защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: