Peneliti cybersecurity telah mengungkapkan rincian aktivitas pemindaian berbasis cloud yang terkoordinasi yang menargetkan 75 “titik paparan” berbeda awal bulan ini.
Kegiatan, yang diamati oleh Greynoise pada 8 Mei 2025, melibatkan sebanyak 251 alamat IP berbahaya yang semuanya di geolokasi ke Jepang dan di -host oleh Amazon.
“IP ini memicu 75 perilaku berbeda, termasuk eksploitasi CVE, probe salah konfigurasi, dan aktivitas pengintaian,” kata perusahaan intelijen ancaman. “Semua IP diam sebelum dan sesudah lonjakan, menunjukkan penyewaan infrastruktur sementara untuk satu operasi.”
Upaya pemindaian telah ditemukan telah menargetkan beragam teknologi dari Adobe Coldfusion, Apache Struts, Apache Tomcat, Drupal, Elasticsearch, dan Oracle Weblogic, antara lain.
Operasi oportunistik berkisar dari upaya eksploitasi untuk CVE yang diketahui untuk menyelidiki salah konfigurasi dan titik lemah lainnya dalam infrastruktur web, menunjukkan bahwa aktor ancaman mencari tanpa pandang bulu untuk sistem yang rentan untuk setiap sistem yang rentan
- Adobe ColdFusion-CVE-2018-15961 (eksekusi kode jarak jauh)
- Apache Struts-CVE-2017-5638 (injeksi OGNL)
- Confluence Atlassian-CVE-2022-26134 (injeksi OGNL)
- Bash-CVE-2014-6271 (Shellshock)
- Elasticsearch-CVE-2015-1427 (Groovy Sandbox Bypass dan Eksekusi Kode Jarak Jauh)
- Pemindaian skrip CGI
- Paparan Variabel Lingkungan
- Crawler konfigurasi git
- Cek unggahan shell, dan
- Penulis WordPress memeriksa
Aspek yang menarik adalah bahwa pemindaian spektrum luas aktif hanya pada 8 Mei, tanpa perubahan nyata dalam aktivitas sebelum atau setelah tanggal.
Greynoise mengatakan 295 alamat IP dipindai untuk CVE-2018-15961, 265 IP untuk Apache Struts, dan 260 IP untuk CVE-2015-1427. Dari ini, 262 IP yang tumpang tindih antara ColdFusion dan Struts dan 251 IP yang tumpang tindih di ketiga pemindaian kerentanan.
“Tingkat tumpang tindih ini ke satu operator atau toolset yang digunakan di banyak IP sementara – pola yang semakin umum dalam pemindaian oportunistik tetapi orkestra,” kata Greynoise.
Untuk mengurangi aktivitas, organisasi diharuskan untuk memblokir alamat IP berbahaya segera, meskipun perlu mencatat bahwa eksploitasi tindak lanjut dapat berasal dari infrastruktur yang berbeda.
