С 28 января по 2 февраля 2026 года глобальная сеть наблюдения GreyNoise зафиксировала скоординированную кампанию по разведке, нацеленную на шлюзы Citrix ADC Gateway и Netscaler Gateway. Активность имела две четкие фазы, что указывает на тщательную подготовку к потенциальной атаке. В рамках кампании были проведены масштабный поиск веб-панелей входа с использованием ротации резидентных прокси, а также сфокусированная операция по определению версий ПО, размещенная в облаке AWS.
Описание
Статистика говорит сама за себя: 111 834 сеанса, более 63 000 уникальных исходных IP-адресов. Особенно показателен уровень целевого внимания: 79% всех сеансов пришлось именно на ловушки (honeypots), имитирующие Citrix Gateway. Этот показатель значительно превышает фоновый уровень сканирования, что сигнализирует о целенаправленном картировании инфраструктуры, а не о случайном сборе информации.
Две тактики в рамках одной операции
Первая фаза, «Обнаружение панели входа», составила подавляющее большинство трафика - 109 942 сеанса с 63 189 IP-адресов. Она велась из облака Microsoft Azure через сеть резидентных прокси и была нацелена на стандартный путь к форме входа "/logon/LogonPoint/index.html". Вторая, более сфокусированная фаза «Определение версии» включала 1 892 запроса всего с 10 IP-адресов из регионов AWS us-west-1 и us-west-2. Ее целью был исполняемый файл настройки Endpoint Analysis ("/epa/scripts/win/nsepa_setup.exe"). Обе кампании активизировались непосредственно перед 1 февраля и почти исключительно атаковали инфраструктуру Citrix. Их взаимодополняющие цели - поиск точек входа и инвентаризация версий ПО - указывают на скоординированную разведку.
Вызов резидентных прокси
Анализ трафика выявил интересные детали. Один IP-адрес из Microsoft Azure в Канаде сгенерировал 39 461 сеанс, что составляет 36% всего трафика первой фазы, используя пользовательский агент Prometheus "blackbox-exporter". Хотя пользовательские агенты легко подделать, их также легко обнаружить и заблокировать. Однако оставшийся трафик поступал с IP-адресов резидентных интернет-провайдеров из Вьетнама, Аргентины, Мексики, Алжира, Ирака и других стран. Каждый адрес использовался лишь для одного сеанса с уникальным отпечатком браузера. Это классическая ротация резидентных прокси. Такие адреса обходят географические блокировки и фильтры репутации, поскольку принадлежат легитимным потребительским сетям, блокировать которые организации обычно не решаются.
Шестичасовой спринт по определению версий
Фаза определения версий вызывает большее беспокойство с точки зрения последующих действий. 1 февраля 10 IP-адресов из AWS совершили 1 892 запроса к файлу настройки Citrix Endpoint Analysis в сконцентрированном шестичасовом окне, достигнув пика в 362 сеанса в 02:00 по UTC. Все источники использовали идентичный устаревший пользовательский агент Chrome 50 образца 2016 года. Быстрое начало и завершение этой фазы намекает на целенаправленный сканирующий спринт, который мог быть запущен после обнаружения уязвимых конфигураций EPA или получения разведданных об окнах развертывания.
Что раскрывает анализ TCP-отпечатков
Анализ на транспортном уровне (TCP) выявил разделение инфраструктуры. Доминирующий источник в Azure демонстрировал признаки туннелирования трафика с уменьшенным размером сегмента (MSS), что указывает на дополнительные меры операционной безопасности. Трафик резидентных прокси показывал характеристики стека TCP Windows, маршрутизируемого через Linux-прокси. Источники из AWS, определявшие версии, использовали значения MSS для jumbo-кадров, что в 45 раз превышает стандартный размер и возможно только в дата-центрах с поддержкой MTU более 9000 байт. Несмотря на разную инфраструктуру, все отпечатки имели идентичный порядок TCP-опций, что является индикатором общего инструментария или фреймворка.
Индикаторы подготовки к атаке
Вся эта разведывательная активность, вероятно, представляет собой картирование инфраструктуры перед эксплуатацией. Целевой интерес к пути файла настройки Endpoint Analysis предполагает разработку эксплойтов под конкретные версии или проверку известных уязвимостей Citrix ADC. Для своевременного обнаружения подобных угроз специалистам по безопасности рекомендуется отслеживать пользовательский агент "blackbox-exporter" из неавторизованных источников, настраивать оповещения о внешнем доступе к "/epa/scripts/win/nsepa_setup.exe", а также фиксировать аномальные паттерны сканирования панели входа и устаревшие отпечатки браузеров. С точки зрения защиты эксперты советуют пересмотреть необходимость выхода шлюзов Citrix Gateway в интернет, реализовать требования аутентификации для доступа к каталогу "/epa/scripts/", настроить подавление информации о версиях в HTTP-ответах шлюзов и отслеживать аномальный доступ из резидентных сетей в неожиданных регионах.
Индикаторы компрометации
IPv4
- 13.57.253.3
- 18.237.26.188
- 18.246.164.162
- 44.251.121.190
- 50.18.232.85
- 52.139.3.76
- 52.36.139.223
- 54.153.0.164
- 54.176.178.13
- 54.201.20.56
- 54.219.42.163
