كشف باحثون في الأمن السيبراني عن نشاط مسح ضار مكثف وُظفت فيه 251 عنوان IP مستضافًا عبر أمازون، وجميعها مُوّجهة جغرافيًا من اليابان. رصدت شركة “غراي نويز” هذا النشاط في 8 مايو 2025، والذي استهدف 75 نقطة اختراق مختلفة، بما في ذلك استغلال ثغرات (CVEs)، وفحص إعدادات خاطئة، وأنشطة استطلاع.
وأشارت الشركة إلى أن عناوين الـ IP ظلت خاملة قبل وبعد هذا التاريخ، مما يشير إلى أنها استُأجرت لفترة محدودة لتنفيذ عملية واحدة.
تقنيات مستهدفة ونقاط ضعف مُستغلة
ركزت عمليات المسح على ثغرات في أنظمة وتقنيات متنوعة، أبرزها:
-
أدوبي كولدفيوجن: ثغرة CVE-2018-15961 (تنفيذ أكواد عن بُعد).
-
أباتشي سترتس: ثغرة CVE-2017-5638 (حقن أوامر OGNL).
-
إيلاستيكسيرش: ثغرة CVE-2015-1427 (تجاوز قيود “جروفي” وتنفيذ أكواد).
-
أنظمة أخرى مثل “دروبال”، و”أوراكل ويب لوجيك”، و”باش” (ثغرة شيل شوك).
كما شملت الفحوصات البحث عن ملفات Git المكشوفة، واختبارات رفع ملفات خبيثة، وفحص حسابات ووردبريس غير المؤمنة.
توصيات للتخفيف من المخاطر
نصحت “غراي نويز” المؤسسات بحظر عناوين الـ IP الضارة فورًا، مع التنبيه إلى أن هجمات المتابعة قد تنطلق من بنى تحتية مختلفة. وأكدت أن التداخل الكبير بين عناوين الـ IP المستخدمة يشير إلى عملية منظمة نفذتها جهة واحدة أو أداة خبيثة موحدة.
ملاحظة:
-
تم رصد 295 عنوان IP لثغرة كولدفيوجن، و265 لثغرة سترتس، و260 لثغرة إيلاستيكسيرش.
-
تداخل 251 عنوان IP في استغلال الثغرات الثلاث معًا يدعم فرضية التنسيق الواحد.
