Μεταξύ 25 και 28 Δεκεμβρίου, ένας μεμονωμένος παράγοντας απειλής διεξήγαγε μια εκστρατεία σάρωσης μεγάλης κλίμακας, δοκιμάζοντας πάνω από 240 διαφορετικά exploit σε συστήματα που αντιμετωπίζουν το Διαδίκτυο και συλλέγοντας δεδομένα για κάθε ευάλωτο στόχο που βρέθηκε.
Αυτή η επιχείρηση αναγνώρισης, η οποία λειτουργεί από δύο διευθύνσεις IP που συνδέονται με το CTG Server Limited (AS152194), αντιπροσωπεύει ένα νέο επίπεδο πολυπλοκότητας στον τρόπο με τον οποίο διασφαλίζεται η αρχική πρόσβαση για λειτουργίες ransomware.
Ο εισβολέας εξέταζε συστηματικά στόχους σε διαστήματα ενός έως πέντε δευτερολέπτων, με κάθε σύστημα να λαμβάνει 11 διαφορετικούς τύπους εκμετάλλευσης για να εντοπίσει τις αδυναμίες.
Η καμπάνια αποκαλύπτει μια ανησυχητική αλλαγή στις λειτουργίες ransomware. Αντί να εξαπολύουν άμεσες επιθέσεις, αυτοί οι παράγοντες απειλών ενεργούν ως Initial Access Brokers (IABs), δημιουργώντας καταλόγους ευάλωτων συστημάτων για πώληση σε ομάδες ransomware.
Τα δεδομένα που συλλέχθηκαν κατά τη διάρκεια αυτού του τετραήμερου παραθύρου παρέχουν ένα επιβεβαιωμένο απόθεμα εκμεταλλεύσιμων στόχων που πιθανότατα θα τροφοδοτήσουν στοχευμένες εισβολές κατά τη διάρκεια του 2026.
Ο συγχρονισμός ήταν σκόπιμος, εκμεταλλευόμενοι τις περιόδους διακοπών όπου οι ομάδες ασφαλείας μειώνονται και τα συστήματα ανίχνευσης λαμβάνουν ελάχιστη προσοχή.
Αναλυτές Greynoise αναγνωρισθείς η καμπάνια εντοπίζοντας πάνω από 57.000 μοναδικούς υποτομείς δοκιμής ασφαλείας εφαρμογών εκτός ζώνης (OAST) που συνδέονται με την πλατφόρμα Interactsh του ProjectDiscovery.
Οι ερευνητές παρατήρησαν ότι τα εργαλεία ταίριαζαν με το Nuclei, έναν σαρωτή ευπάθειας ανοιχτού κώδικα, που λειτουργεί σε βιομηχανική κλίμακα.
.webp.jpeg "Απειλές που επιτίθενται σε συστήματα με 240+ εκμεταλλεύσεις πριν από την ανάπτυξη ransomware")
Αναλύοντας τα δακτυλικά αποτυπώματα του δικτύου JA4 και ένα κοινό αναγνωριστικό Machine στο 98 τοις εκατό των προσπαθειών, οι αναλυτές της Greynoise επιβεβαίωσαν ότι ήταν ένας μόνο χειριστής που διεξήγαγε την επίθεση και όχι μια συντονισμένη ομαδική προσπάθεια.
Ανίχνευση Διαφυγής και Ανάλυση Υποδομής
Η επιλογή του CTG Server Limited από τον εισβολέα εγείρει σημαντικές ανησυχίες σχετικά με την ανθεκτική υποδομή για εγκληματικές επιχειρήσεις.
Αυτός ο εγγεγραμμένος πάροχος φιλοξενίας στο Χονγκ Κονγκ ελέγχει περίπου 201.000 διευθύνσεις IPv4 σε 672 προθέματα και λειτουργεί με ελάχιστη επιβολή κατάχρησης.
Το δίκτυο προσδιοριζόταν προηγουμένως ότι φιλοξενεί τομείς phishing εντός της υποδομής FUNNULL CDN και ανακοινώνει διαδρομές bogon, υποδεικνύοντας κακές πρακτικές υγιεινής δικτύου που το καθιστούν ελκυστικό για λειτουργίες που απαιτούν υποδομή που μπορεί να αντέξει προσπάθειες αποκλεισμού.
Οι οργανισμοί πρέπει να εξετάσουν τα αρχεία καταγραφής τους από τις ημερομηνίες της καμπάνιας για συνδέσεις με τις ύποπτες διευθύνσεις IP 134.122.136.119 και 134.122.136.96, καθώς και ερωτήματα DNS σε τομείς OAST, συμπεριλαμβανομένων των oast.pro, oast.site, oast.me, oast.online, και oast.
Εάν ανακαλυφθούν αντιστοιχίσεις, οι οργανισμοί θα πρέπει να υποθέσουν ότι οι εισβολείς έχουν επιβεβαιωμένα τρωτά σημεία στα δίκτυά τους και ότι αυτές οι πληροφορίες πρόσβασης ενδέχεται να είναι ήδη διαθέσιμες για αγορά σε εγκληματικές αγορές.
