Скоординированное сканирование 251 вредоносным IP из Японии на AWS

Скоординированная разведывательная операция на 251 вредоносном IP-адресе выявлена в Японии

8 мая была обнаружена масштабная и тщательно спланированная разведывательная операция с использованием 251 вредоносного IP-адреса, геолокализованных в Японии и размещённых на инфраструктуре Amazon AWS. В течение одного дня с этих адресов осуществлялось 75 различных систематических операций сканирования, направленных на выявление и эксплуатацию известных уязвимостей в веб-сервисах.

Особенности атаки: методы и технологии

Операция включала попытки использования ряда известных уязвимостей (CVE), а также поиск неправильных настроек веб-инфраструктуры. Все IP-адреса были классифицированы как вредоносные исследовательской платформой GreyNoise, которая специализируется на анализе сканирующей активности в интернете.

Для проведения сканирования злоумышленники активно применяли следующие технологии и сервисы:

• ColdFusion (CVE-2018-15961)
• Apache Struts (CVE-2017-5638)
• Elasticsearch Groovy (CVE-2015-1427)
• WebLogic
• Tomcat

Кроме того, были задействованы методы разведки:

• проверка авторства WordPress;
• сканирование CGI-скриптов;
• исследование неправильной конфигурации, включая обход настроек Git и выявление переменных среды.

Координация и использование арендованной инфраструктуры

Анализ логов показал, что данные IP-адреса функционировали без сбоев как до, так и после операции, что указывает на вероятное использование арендованной облачной инфраструктуры для проведения активностей. Тесная координация действий между различными IP-адресами подтверждает намеренный характер операции, а схожесть в поведении и наборе уязвимостей — это не случайный, а тщательно спланированный процесс.

Рекомендации по защите

В связи с выявленными угрозами специалисты GreyNoise рекомендуют организациям:

• немедленно заблокировать 251 обнаруженный вредоносный IP-адрес;
• внедрить стратегии динамической блокировки IP-адресов для предотвращения повторных попыток атак;
• внимательно отслеживать журналы событий и проявлять бдительность при обнаружении подозрительной активности;
• быть готовыми к появлению новых попыток эксплуатации уязвимостей, включая возможные атаки нулевого дня на основе подобного разведывательного сканирования.

Скоординированные сканирования, подобные этому, традиционно предшествуют более сложным атакам и могут стать индикатором подготовки больших кампаний эксплуатации уязвимостей. Таким образом, своевременное реагирование и меры по ограничению доступа играют ключевую роль в обеспечении безопасности корпоративных и государственных ресурсов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.