HackerNews 编译,转载请注明出处:
GreyNoise 发现一起针对 Citrix Gateway 的双模式侦察活动,攻击者利用超过 6.3 万个住宅代理及亚马逊云科技(AWS)基础设施,搜寻登录面板并枚举系统版本。
2026年1月28日至2月2日期间,GreyNoise 追踪到一起协同进行的侦察活动,目标直指 Citrix ADC 和 NetScaler 网关。攻击者先通过超 6.3 万个住宅代理探测登录面板,随后切换至 AWS 基础设施,在 11.1 万余次会话中集中枚举暴露在外的系统版本。
该活动共记录来自超 6.3 万个 IP 的 111834 次会话,其中 79% 的流量直指 Citrix 网关蜜罐,可见攻击者是针对性开展基础设施测绘,而非随机爬取。GreyNoise 发布的报告指出:“数据足以说明问题 ——111834 次会话、超 6.3 万个独立源 IP,且对 Citrix 网关蜜罐的针对性攻击率达 79%,这一比例至关重要,远高于基准扫描噪声水平,表明攻击者是刻意开展基础设施测绘,而非投机性爬取。”
就在 2026 年 2 月 1 日前夕,发生了两起针对 Citrix 基础设施的相关活动。其一活动通过全网扫描探测登录面板,另一场则快速核查软件版本,可见这是一场协同化的侦察行动。
登录面板探测环节高度依赖住宅代理。攻击者将大量流量集中在一个大型 Azure IP 上,剩余流量则来自全球数千个合法民用 IP。每个 IP 均配有唯一浏览器指纹,助力攻击者绕过地理围栏及信誉过滤机制。
版本核查环节由 10 个 AWS IP 发起,持续超 6 小时,且均使用同一老旧 Chrome 浏览器指纹。这种快速且精准的活动态势表明,攻击者在锁定潜在目标后迅速开展行动。
基于 Azure 的扫描器通过 VPN 及隧道转发流量,且采用略低于标准的最大分段大小(MSS),可见攻击者具备严谨的操作安全意识。住宅代理源自 Windows 设备,但会经 Linux 代理转发,以此混入民用流量规避检测。AWS 版本扫描器则使用了只有在数据中心环境下才可能配置的巨帧设置,这证实了攻击者依赖的是专用基础设施,而非普通的消费级网络。
TCP 协议分析显示,尽管基础设施配置不同,但三者共用同一框架:Azure 流量走 VPN 隧道、住宅代理扫描经 Linux 代理转发、AWS 扫描则依赖数据中心级网络配置。三者共享相同 TCP 特征,表明三场攻击活动依托同一底层工具集。
报告补充道:“尽管基础设施类型不同,但所有指纹的 TCP 选项顺序完全一致,这表明即便操作层面相互隔离,底层仍共用同一工具或框架”。
此次侦察活动大概率是攻击前的基础设施测绘,攻击者重点瞄准 EPA 安装文件,或为后续针对性漏洞利用做准备。企业应重点监测异常用户代理、快速登录枚举行为、老旧浏览器指纹及针对敏感路径的外部访问请求。防护措施包括限制基础设施暴露面、强化身份认证机制、隐藏系统版本信息、标记可疑地区流量。
该报告(内含入侵指标)总结道:“此次侦察活动大概率是漏洞利用前的基础设施测绘,对 EPA 安装文件路径的精准瞄准,表明攻击者有意针对已知 Citrix ADC 漏洞开发版本专属利用程序,或开展漏洞验证”。
消息来源:securityaffairs.com:
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文