?云安全風險情報

當前各行業基礎設施和服務向云逐漸遷移，隨之而來針對云上資產的攻擊也不斷出現，掌握云上風險態勢成為企業安全的重要環節。騰訊安全基于云原生安全體系，通過實時監測各類針對云上資產的攻擊行為，持續感知在野攻擊情況。經過安全專家的分析和挖掘，漏洞是攻擊鏈上的重要一環，既能看到“老而彌新”漏洞的自動化批量攻擊，也可發現新曝光漏洞開始迅速武器化，此外還涉及一些尚未公開的潛在風險被攻擊者利用。

為了幫助各行業了解云上風險態勢，我們將定期分析、匯總云上的真實攻擊信息，并提供漏洞風險情報。同時也建議各行業根據自身IT資產的實際情況，聚焦相關風險，并采取必要的緩解措施，避免潛在損失。

本周云上攻擊態勢

一、總覽與解讀

1）簡介

本周，云上攻 擊保持高度的活躍狀態，Confluence、GitLab相關漏洞熱度持續霸占榜單， " Metabase 遠程代碼執行"和" Weblogic 未授權命令執行"漏洞新上熱榜 ；在受攻擊行業方面，技術服務、游戲、電商等行業持續霸占榜單，社交娛樂新上熱榜。

2）總覽

本周，騰訊安全【云上威脅狩獵系統】(后簡稱WeDetect)共捕獲到 67 個有效漏洞攻擊事件、11 種持久化攻擊類型、221 個活躍攻擊IP。

對比上周，活躍漏洞數量 增加  5  個， 持久化攻擊類型 增加 1 個 ，活躍攻擊IP數量 減少  208  個 。

3）趨勢

近一個月，騰訊安全WeDetect感知到云上攻擊總體平穩，繼續維持在高活躍狀態：

二、云上安全威脅最新動態

騰訊安全WeDetect持續監測云上安全威脅，基于云的視角發布最新態勢，關注近期曝光漏洞武器化和在野攻擊、最新攻擊事件和背后團伙動態。以便各行業及時掌握云安全的關鍵風險，結合自身資產采取相應緩解措施，確保數據及業務的安全。

Fourloko團伙變動

WeDetect 持續監控感知到該團伙因下載執行文件包含Fourloko，固命名為Fourloko。其主要是下載執行Mirai僵尸網絡。

本周 WeDetect 持續監控感知到 Fourloko 團伙的變動如下：

• 新增使用 用 C2 IP :   45 .95.147.204
• 利用漏洞: Hadoop YARN 資源管理系統 REST API未授權訪問

三、Top 5 漏洞和攻擊趨勢

云上Top 5漏洞攻擊所利用的漏洞信息如下，具有相關資產的用戶可以關注并排查是否已修復，提高相關工作的優先級。

1）Top5 漏洞及占比

本周WeDetect共感知 67 種漏洞攻擊事件，其中Top 5漏洞為：

• GitLab 遠程命令執行漏洞(CVE-2021-22205) (35.81% ) [ ↑1.51%]
• Confluence 遠程代碼執行漏洞(CVE-2022-26134) (20.87%)[ ↑8.44 % ]
• Hadoop YARN 資源管理系統REST API未授權訪問 (12.31 %)[ ↑5.2 % ]
• Metabase 遠程代碼執行漏洞(CVE-2023-38646) (4.27%) [ 新增 ]
• Weblogic 未授權命令執行(CVE-2020-14882) (3.96 %) [新增 ]

2）Top5 漏洞攻擊趨勢

通過漏洞活躍指數，可觀察熱點漏洞近兩周活躍情況，了解此類漏洞攻擊屬于短期爆發型還是長期穩定型。

GitLab 遠程命令執行漏洞(CVE-2021-22205)：

Confluence 遠程代碼執行漏洞(CVE-2022-26134)   ：

Hadoop YARN 資源管理系統REST API未授權訪問 ：

Metabase 遠程代碼執行漏洞(CVE-2023-38646) ： [ 新增 ]

Weblogic 未授權命令執行(CVE-2020-14882) ： [ 新增 ]

四、Top 持久化攻擊

感 知持久化后門攻擊，側重于捕獲攻擊者通過WebShell、后門等手段對目標進行持續滲透攻擊的過程。 通過 云上持久化攻擊感知和挖掘，可回溯到相關的歷史活躍漏洞情況，并為后門清理、漏洞修補提供參考。（提示新增部分漏洞，均為：對比上周統計，新出現的）

本周云上Top持久化后門攻擊：

• Showdoc 文件上傳漏洞Webshell利用
• CTF/靶場類環境被利用
• Tomcat弱口令導致RCE(Webshell利用) 
• JSP WebShell利用
• PHP WebShell利用
• 用友NC 被攻擊植入后門后利用
• Weblogic被攻擊植入Webshell后利用
• Apache APISIX被攻擊植入后門后利用 
• JBoss 寫Webshell后利用 

五、云上攻擊威脅情報

通過對漏洞攻擊事件的分析，可梳理出遭受攻擊的主要行業、關聯的攻擊者及漏洞利用攻擊行為等威脅情報。

1）C2威脅情報

WeDetect已持續累計捕獲云上C2相關情報，提供威脅情報價值。

C2 攻擊者IP Top5：

• 103.214.xx.xx (65.87 %)
• 194.38.xx.xx (20.33%)
• 141.98.xx.xx (5.01%)
• 45.95.xx.xx (4.02%)
• 94.156.xx.xx (1.07%)

C2來源分布：

• 印度尼西亞 (65.87%)
• 烏克蘭(20.33 %)
• 荷蘭(5.09%)
• 立陶宛 (5.01%)
• 保加利亞(2.27%)

C2 IP情報標簽（標簽數據來自：TIX）：

• 漏洞利用 (87.19%)
• 常規木馬 (12.09%)
• 其他(0.72%)

C2 IP屬性（屬性數據來自：TIX）：

• 可疑IP (99.32%)
• 其他 (0.68%)

2）遭受攻擊的Top5 行業

根據行業分類，本周云上 Top5 遭受攻擊行業 ：

• 技術服務(46.85%)
• 游戲(22.68%)
• 社交娛樂(5.11%) [新增]
• 電商 (4.51%)
• 通用工具(3.05%)

3）Top5 攻擊者IP及漏洞利用情況

本周云上 Top5  攻擊者 IP ：

• 103.30.xx.xx (54.3%)
• 162.214.xx.xx (17.31%)
• 109.237.xx.xx (4.12%)
• 78.153.xx.xx (3.35%)
• 152.89.xx.xx (3.04%)

其中，在Top5 攻擊者IP中，各自使用最多的CVE漏洞為：

• GitLab 遠程命令執行漏洞(CVE-2021-22205)
• Confluence 遠程代碼執行漏洞(CVE-2022-26134)
• Hadoop YARN 資源管理系統 REST API未授權訪問

其中，攻擊 IP 境外來源Top5 ：

• 美國
• 東歐
• 德國
• 荷蘭
• 新加坡

4）攻擊來源

云上攻擊可來自外網、負載均衡、內網等。通過WeDetect對攻擊鏈路的網絡判斷能力，可洞察云上攻擊的不同攻擊來源及其熱度，為排查不同網絡鏈路的攻擊面提供優先級參考價值。

本周云上熱點攻擊來源：

• 外網攻擊 (94.08%)
• 負載均衡 (5.17%)
• 內網橫移 (0.47 %)
• 跨網段攻擊 (0.28%)

5）Top5 攻擊端口

攻擊者在攻擊指定服務的背后就是在向指定端口發起攻擊。通過WeDetect可挖掘出被攻擊的熱門端口，洞察存在高危風險的端口服務，為排查高危的端口服務提供優先級參考價值。

本周云上Top5  攻擊端口：

• 80 (46.31%)
• 3001(9.53%)
• 3030 (6.02 %)
• 8088(5.71%)
• 9999 (4.98%)

6）Top5 漏洞攻擊行為

攻擊者在使用漏洞攻擊的過程中，通常伴隨帶有目的性的攻擊行為。通過WeDetect可挖掘出發起攻擊的一些熱門攻擊行為，洞察攻擊背后的真實意圖。

本周細化了云上漏洞攻擊行為的類別，其中云上Top5 漏洞攻擊行為如下，云上攻擊行為主要以挖礦木馬為主 ：

• 挖礦木馬 (41.23%)
• 文件下載并執行 (17.98%)
• 文件下載 (15.82%)
• 文件權限修改 (11.44%)
• 漏洞探測 (8.61%)

7 ）主機和容器占比情況

云上受攻擊的資產一般分為主機或容器。通過WeDetect可挖掘出被攻擊的主機和容器占比，洞察云上受攻擊資產類型分布，為排查風險資產提供優先級參考價值。

從本周占比情況看，主機和容器占比接近五五分，意味著在云上場景中容器安全同樣需要得到重視：