Специалисты по кибербезопасности из GreyNoise зафиксировали в период с 14 по 20 февраля 2026 года значительное изменение в тактике массового сканирования интернета на наличие уязвимостей. В отличие от предыдущих недель, когда преобладали распределённые кампании с множеством IP-адресов, вся активность в отчётный период свелась к 33 независимым операциям, каждая из которых велась строго с одного исходного адреса. Несмотря на кажущееся упрощение, анализ инфраструктуры выявил использование злоумышленниками сложных методов сокрытия, включая «пуленепробиваемый» хостинг, коммерческие VPN-узлы и целенаправленную атаку на свежие критические уязвимости в программном обеспечении.
Описание
Факты и цифры
За неделю сенсоры GreyNoise зарегистрировали 3 882 сессии, связанные с технологией OAST (Out-of-band Application Security Testing - методика выявления уязвимостей с использованием внешних callback-доменов). Активность исходила всего от 24 уникальных IP-адресов, что на 69,6% меньше, чем неделей ранее. При этом, однако, почти вдвое (на 99,6%) выросло число сессий, использующих популярный сканер уязвимостей с открытым исходным кодом Nuclei. Все 5 695 обнаруженных OAST-доменов были успешно декодированы, что указывает на использование злоумышленниками конкретного инструмента - Interactsh.
Важным индикатором смены тактики стал рост внедрения вредоносных нагрузок через куки-файлы (с 4,7% до 22,5% от всех случаев), что может свидетельствовать об обновлении конфигураций автоматизированных инструментов сканирования.
Анализ ключевых угроз: от «пуленепробиваемого» хостинга до скомпрометированных игровых серверов
Специалисты выделили несколько групп кампаний, представляющих наибольший интерес с точки зрения угрозы.
Наиболее пристального внимания заслуживают две инфраструктуры, помеченные системой Censys как «пуленепробиваемый» хостинг (BULLETPROOF hosting) с высокой степенью уверенности. Речь идёт об IP-адресах 179.43.146[.]42 (Private Layer, Швейцария) и 45.61.131[.]28 (RouterHosting / Cloudzy, США). Последний является абсолютно новой инфраструктурой, впервые замеченной 19 февраля, но уже успевшей сгенерировать почти миллион запросов к сенсорам GreyNoise. Полное отсутствие открытых сетевых сервисов на этом адресе говорит о его исключительно сканирующей специализации. Компания FranTech Solutions (известная также как PONYNET), стоящая за Cloudzy, имеет устойчивую репутацию провайдера, чьи услуги активно используют операторы программ-вымогателей и APT-группы (Advanced Persistent Threat - группы целевых атак с высокой степенью скрытности).
Ещё одной заметной операцией стала активность с IP-адреса 80.87.206[.]76, размещённого у французского хостинг-провайдера OVH, зарегистрированного на компанию Alliance LLC. Использование Gmail-адреса для контактов по злоупотреблениям вместо корпоративной почты указывает на намеренную анонимизацию. Данный сканер, работающий с 2023 года, сфокусирован на эксплуатации уязвимости ProxyLogon (CVE-2021-26855).
Особый интерес представляет адрес 46.151.182[.]62 (Ghosty Networks, Люксембург). Несмотря на то, что он появился в поле зрения всего за день до начала отчётного периода, он быстро набрал высокий рейтинг вредоносности в VirusTotal. Censys обнаружил на этом хосте, помимо сканирующих инструментов, игровой протокол Valve/Source Engine (UDP 27015), что с высокой вероятностью указывает на компрометацию легитимного игрового сервера.
Новые векторы атаки и старые, но живучие уязвимости
Анализ полезных нагрузок подтвердил две тревожные тенденции.
- Несмотря на четырёхлетнюю историю, уязвимость Log4Shell (CVE-2021-44228) продолжает лидировать по количеству OAST-обращений, составляя значительную часть всего трафика. Это говорит либо о сохраняющемся огромном количестве неисправленных систем, либо о том, что проверка на эту уязвимость стала стандартным тестом в арсенале автоматических сканеров.
- Наблюдатели зафиксировали появление нового вектора атаки - сканирование конечных точек, связанных с инфраструктурой искусственного интеллекта. Речь идёт о протоколах MCP (Model Context Protocol) и SSE (Server-Sent Events). Хотя таких случаев пока зафиксировано всего семь, это явный сигнал о том, что злоумышленники начинают проявлять интерес к быстро развивающемуся сегменту AI/LLM (Large Language Model - большая языковая модель).
Важным открытием недели стало расширение инструментария оператора, использующего инфраструктуру Private Layer. К уже известным целям атаки добавилась свежая критическая уязвимость CVE-2026-0770 в платформе Langflow (система оркестрации для AI-приложений), для которой до сих пор не выпущено официальное исправление от вендора. Также в активной эксплуатации находятся уязвимости CVE-2026-1731 в решениях BeyondTrust и CVE-2026-23760 в SmarterMail, эксплойты для которых уже появляются в Telegram-каналах и ассоциируются с кампаниями программ-вымогателей.
Рекомендации для специалистов по защите
Полученные данные позволяют сформулировать конкретные рекомендации по усилению обороны.
В первую очередь, рекомендуется заблокировать на уровне сетевого периметра IP-адреса, связанные с «пуленепробиваемым» хостингом: 179.43.146[.]42 (Private Layer) и 45.61.131[.]28/45.61.130[.]7 (RouterHosting/Cloudzy). Для адреса 179.43.146[.]42 также следует внести в чёрные списки домен "aliyundunupdate[.]xyz" (типодоминг безопасности Alibaba Cloud) и пути "/slt" и "/x", которые используются как конечные точки управления (C2) и для загрузки вредоносных нагрузок.
Особое внимание стоит уделить обнаружению на основе TCP-отпечатков (JA4T). Уникальное значение окна 32120 (отпечаток "32120_2-4-8-1-3_1460_7") является высокоточной сигнатурой для отслеживания оператора за Private Layer. Также значимыми индикаторами являются отпечаток "42340_2-1-1-4-1-3_1460_7" для трафика, выходящего через VPN AnchorFree/Hotspot Shield, и "64240_2-4-8-1-3_1460_10" с аномально низким TTL, характерный для корейского оператора.
В качестве приоритетной задачи необходимо ускорить патчинг свежих уязвимостей, особенно CVE-2026-0770 (Langflow), учитывая отсутствие официального исправления и наличие публичного доказательства концепции (PoC). Кроме того, командам безопасности следует начать мониторинг нехарактерной активности, направленной на порты и конечные точки, связанные с AI-инфраструктурой (MCP, SSE), так как этот вектор атаки только начинает набирать обороты.
Таким образом, несмотря на снижение общего количества уникальных атакующих IP-адресов, неделя продемонстрировала рост качества и изощрённости угроз. Злоумышленники концентрируют усилия на высокопроизводительных операциях с «чистой» инфраструктуры, активно используют услуги анонимизации и оперативно включают в свой арсенал эксплойты для самых свежих и критических уязвимостей, включая те, что затрагивают перспективные направления вроде искусственного интеллекта.
Индикаторы компрометации
IPv4
- 103.144.87.192
- 109.236.50.39
- 125.133.193.135
- 129.212.209.250
- 158.94.210.151
- 179.43.146.42
- 185.138.89.4
- 185.196.9.159
- 185.250.181.214
- 193.227.109.29
- 193.24.123.42
- 193.32.127.220
- 194.107.161.84
- 204.216.147.144
- 207.148.20.225
- 209.38.59.247
- 209.38.59.248
- 216.105.164.20
- 220.202.152.103
- 35.194.178.154
- 45.61.130.7
- 45.61.131.28
- 46.151.182.62
- 46.29.235.157
- 72.60.104.48
- 80.87.206.76
Domains
- aliyundunupdate.xyz
- cloudzy.com
- dns.nullsproxy.com
- ir6k1.2monkeyd.online
- mchcz.com
- oast.fun
- oast.live
- oast.me
- oast.pro
- oast.site
URLs
- http://179.43.146.42/x
Emails
- nocalliance64@gmail.com
