一场看似针对 Adobe ColdFusion 服务器发起的节假日定向攻击,最终演变为规模庞大、工业化级别的网络攻击行动。灰度噪声(GreyNoise)发布最新情报更新指出,2025 年圣诞假期期间首次监测到的这场攻击,不过是冰山一角,其背后隐藏着一场针对全球几乎所有主流技术栈的大规模协同初始访问代理攻击行动。
当安全防护人员忙着拆圣诞礼物时,某单一威胁攻击者正忙着挖掘各类漏洞 —— 短短数日内就发起超 250 万次恶意请求。
该攻击行动最初进入研究人员视野,源于针对 Adobe ColdFusion 服务器的漏洞利用尝试出现协同性激增。攻击者系统性针对 2023 至 2024 年间披露的 10 余个不同漏洞(对应 CVE 编号)发起攻击,试图攻陷这类服务器。
而随着分析师深入调查,攻击的波及范围令人震惊。
报告明确:“进一步分析显示,ColdFusion 相关攻击仅占这场大型攻击行动的冰山一角。攻击源两台核心 IP(134.122.136.119、134.122.136.96)针对 47 类以上技术栈的 767 个不同漏洞,发起了超 250 万次攻击请求。”
此次攻击行动呈现高度集中化特征。灰度噪声确认,攻击源于单一威胁攻击者,依托日本境内基础设施开展操作,且明确指出攻击跳板为托管服务商 CTG Server Limited。
该单一攻击源的攻击强度惊人,此期间监测到的攻击流量中,约 98% 均来自该来源。攻击者动用了近 1 万个唯一 Interactsh OAST 域名,这一技术的核心作用是诱导目标服务器主动连接攻击者控制的域名,以此确认漏洞利用是否成功。
攻击目标覆盖面极广,可见攻击者采用自动化 “广撒网、碰运气” 战术,目的是从所有联网的脆弱设备中窃取访问凭证与网页后门。攻击针对 47 类以上不同技术栈,具体包括:
・Java 应用服务器:Tomcat、WebLogic、JBoss(攻击请求 132113 次)
・Web 开发框架:Apache、Struts、Spring(攻击请求 91253 次)
・内容管理系统:WordPress、Joomla、Drupal(攻击请求 72711 次)
・网络设备:思科、网件、F5、友讯(攻击请求 36355 次)
攻击者的目标不仅限于各类服务器,还针对性攻击监控系统(大华、海康威视)及企业级监控工具(Nagios、Grafana)。
尽管此次攻击覆盖面极广,但部分漏洞成为攻击者重点利用对象。报告指出,侦察探测行为占总攻击活动的 56.4%,其次是直接漏洞利用,占比 17.1%。
被滥用最多的高危漏洞包括:
CVE-2023-26360:Adobe ColdFusion 远程代码执行(RCE)漏洞
CVE-2017-9841:PHPUnit 组件高危远程代码执行漏洞
CVE-2018-11776:臭名昭著的 Apache Struts 2 远程代码执行漏洞
灰度噪声最终判定:“这显然是一场大规模、高度协同的初始访问代理攻击行动”,同时警示,被攻陷的系统近期可能会被打包出售给勒索软件团伙或其他网络犯罪分子,用于发起二次攻击。
发表评论
您还未登录,请先登录。
登录