Крупная OAST-атака: Выявлено 73 кампании сканирования уязвимостей с использованием облачной и «пуленепробиваемой» инфраструктуры

Техническая суть атаки и ее значение

Основным вектором атак стало использование OAST-доменов для подтверждения успешной эксплуатации уязвимостей. Вместо прямого подключения к серверу злоумышленника, современные сканеры внедряют в полезную нагрузку специальные домены. Если целевая система уязвима и выполняет код, она сама инициирует запрос (например, DNS или HTTP) на этот OAST-домен. Факт такого «обратного вызова» неопровержимо доказывает, что эксплоитация прошла успешно, даже если сам сканирующий IP скрыт за прокси. В анализируемом случае домены внедрялись в различные части HTTP-запросов: чаще всего в тело запроса (4331 случай, 52,8%), пути URI (1709, 20,8%) и значения заголовков (1272, 15,5%). Такое распределение по множеству векторов внедрения характерно для автоматизированных инструментов сканирования, которые пытаются проверить каждую потенциально уязвимую точку.

Активность достигла пика в первые два дня наблюдения (7 и 8 февраля), после чего пошла на спад. Однако 10 февраля был отмечен всплеск количества уникальных IP-адресов (37) при относительно невысоком числе сессий, что может свидетельствовать о развертывании новой сканирующей инфраструктуры. Более детальный анализ выявил скоординированные всплески активности, привязанные к инфраструктуре Oracle Cloud.

Кластеризация кампаний и профили угроз

На основе анализа временных паттернов, инфраструктуры и полезных нагрузок исследователи выделили несколько операционных групп.

Наиболее заметной является группа, использующая прокси Cloudflare (кампании ibe4q, bjibe). Она сгенерировала 3157 обращений к OAST-доменам через 9 IP-адресов Cloudflare, геолокация которых указывала на Бразилию. Единый отпечаток стека TCP (JA4T) для всех адресов (65535_2-4-8-1-3_1380_13) и значение MSS 1380 подтверждают, что весь трафик проходил через туннели Cloudflare, что эффективно маскирует истинное происхождение атак.

Вторая группа базировалась на инфраструктуре Oracle Cloud (AS31898). Четыре IP-адреса из этой сети, расположенные в Бразилии, США и Южной Корее, участвовали в 13 кампаниях с общей сложностью 1243 сессии. Эти узлы продемонстрировали наибольшее разнообразие полезных нагрузок и использовали стандартный Linux-стек TCP (отпечаток 64240_2-4-8-1-3_1460_7). Один из IP-адресов (204.216.147[.]144) наблюдается в сети GreyNoise с сентября 2024 года, что говорит об устоявшейся сканирующей инфраструктуре.

Особый интерес представляет кластер, связанный с хостинг-провайдером PROSPERO OOO (AS200593). IP-адрес 193.24.123.42 в течение двух дней вел целенаправленную атаку на уязвимость CVE-2026-1281 в системе управления мобильными устройствами Ivanti Endpoint Manager Mobile (EPMM). Анализ URI выявил конкретную схему эксплуатации, где через параметр "gPath" внедрялась команда "dig" для инициирования DNS-обратного вызова на OAST-домен, что является прямым подтверждением выполнения кода. Отпечаток стека TCP (MSS 65495) указывает на использование фреймворка Nuclei. Дополнительная проверка через Censys показала, что данная инфраструктура помечена как «пуленепробиваемая» (bulletproof hosting), что подчеркивает ее целенаправленное использование для злонамеренной деятельности.

Отдельно стоит инфраструктура Private Layer в Швейцарии (IP 179.43.146[.]42). Этот узел демонстрировал непрерывное сканирование в течение всех семи дней наблюдения. Его уникальной особенностью стал нестандартный размер TCP-окна (32120) в отпечатке JA4T, что служит высокоточным идентификатором для отслеживания этого конкретного актора. Внешние данные VirusTotal связывают этот IP с доменом "aliyundunupdateх[]xyz", который является типосквоттингом легитимного домена безопасности Alibaba Cloud, что указывает на возможную причастность к распространению вредоносного ПО.

Анализ полезных нагрузок и целевых систем

Сканирование охватило широкий спектр уязвимостей. В топе по количеству попыток оказались атаки на уязвимость Log4j (2131 попытка), попытки внедрения команд в Linux (1703) и таргетированные атаки на CVE-2026-1281 в Ivanti EPMM (344). Арсенал эксплоитов включал как давно известные уязвимости в корпоративном ПО (Oracle WebLogic, SAP, Atlassian Confluence), сетевых устройствах (Cisco, Palo Alto) и IoT, так и свежие уязвимости 2025-2026 годов в таких системах, как Grafana (CVE-2025-4123), SysAid (CVE-2025-2777/2775/2776), Commvault (CVE-2025-34028) и платформе Flowise для LangChain (CVE-2025-8943). Это демонстрирует, что злоумышленники оперативно включают в свои арсеналы эксплоиты для новых, только что закрытых уязвимостей, рассчитывая на запаздывание с установкой обновлений.

Практические рекомендации по защите

Представленные данные требуют от специалистов по информационной безопасности незамедлительных действий.

• Критически важно применить патчи для CVE-2026-1281 (Ivanti EPMM), учитывая факт наблюдения ее активной эксплуатации с подтвержденным выполнением команд.
• Необходимо настроить мониторинг и блокировку трафика, связанного с выявленными индикаторами компрометации (IoC).

Ключевыми целями для блокировки должны стать сетевые диапазоны AS200593 (PROSPERO OOO) и конкретный IP 193.24.123[.]42. Также рекомендуется внести в черные списки или настроить алерты на все домены, использующие обнаруженные OAST-домены верхнего уровня ("*.oast.pro", "*.oast.live", "*.oast.fun", "*.oast.me", "*.oast.site"), которые не имеют легитимного применения в рабочем трафике.

Для более глубокого обнаружения следует использовать сигнатуры на уровне сетевого стека. Отпечаток JA4T с MSS 65495 (варианты 65495_2-4-8-1-3_65495_7 и 33280_2-4-8-1-3_65495_7) является высоконадежным индикатором сканирования с помощью инструментов типа Nuclei, использующих локальный прокси. Общий отпечаток JA3 (11a384388ad36777e1a2e121495037fe), обнаруженный у узлов из Нидерландов, Эстонии и Германии, указывает на общий инструментарий на уровне TLS и может помочь в выявлении связанной активности. Наконец, организациям стоит пересмотреть состояние защиты систем, упомянутых в списке целевых уязвимостей, особенно выпущенных в 2025-2026 годах, и ускорить циклы обновления. Данный инцидент наглядно показывает, что современные угрозы носят глобальный, автоматизированный и быстро адаптирующийся характер, а их отражение требует не только своевременного патчинга, но и продвинутого анализа сетевого трафика с акцентом на внеполосные взаимодействия.

IPv4

• 103.144.87.192
• 103.252.93.81
• 104.28.193.82
• 104.28.193.83
• 104.28.193.87
• 144.24.88.37
• 147.224.178.225
• 168.107.59.85
• 179.43.146.42
• 193.24.123.42
• 204.216.147.144
• 37.60.230.90
• 45.138.101.232
• 46.29.235.157

JA3

• 11a384388ad36777e1a2e121495037fe