Сначала сканируем, потом воюем. Кто-то явно читал учебник — и делал всё строго по нему
NewsMakerАктивность началась раньше, чем о ней узнали те, кого это касается больше всего.
Во Франции зафиксировали необычно мощную сканирующую инфраструктуру, которая за три месяца успела провести миллионы сетевых сессий и почти не оставила следов нагрузки. По данным Greynoise Labs, речь идёт не о привычном наборе серверов для перебора уязвимостей, а о полноценном кластере, построенном по промышленным стандартам и работающем как единый механизм.
Сеть, связанная с автономной системой AS211590 и компанией Bucklog SARL, развернули в Париже на диапазоне из 256 IP-адресов. Анализ показал, что все узлы используют одинаковую конфигурацию и образ системы, а часть серверов объединена в Kubernetes-кластер с автоматическим развёртыванием. Сертификаты и сетевые отпечатки указывают на централизованное управление и строгую дисциплину эксплуатации.
За 90 дней инфраструктура сгенерировала около 13 миллионов соединений. Основная нагрузка пришлась всего на девять узлов, которые равномерно распределяли трафик. Такой баланс характерен для оркестрации контейнеров и говорит о заранее настроенной архитектуре, а не о хаотичной активности.
Главная цель операций — сбор учётных данных. Система массово ищет файлы конфигурации, включая .env, .git и другие источники секретов. На такие попытки пришлось более шести миллионов обращений. Дополнительно кластер изучает системные каталоги, извлекает параметры серверов и проверяет доступ к облачным ключам.
Во Франции зафиксировали необычно мощную сканирующую инфраструктуру, которая за три месяца успела провести миллионы сетевых сессий и почти не оставила следов нагрузки. По данным Greynoise Labs, речь идёт не о привычном наборе серверов для перебора уязвимостей, а о полноценном кластере, построенном по промышленным стандартам и работающем как единый механизм.
Сеть, связанная с автономной системой AS211590 и компанией Bucklog SARL, развернули в Париже на диапазоне из 256 IP-адресов. Анализ показал, что все узлы используют одинаковую конфигурацию и образ системы, а часть серверов объединена в Kubernetes-кластер с автоматическим развёртыванием. Сертификаты и сетевые отпечатки указывают на централизованное управление и строгую дисциплину эксплуатации.
За 90 дней инфраструктура сгенерировала около 13 миллионов соединений. Основная нагрузка пришлась всего на девять узлов, которые равномерно распределяли трафик. Такой баланс характерен для оркестрации контейнеров и говорит о заранее настроенной архитектуре, а не о хаотичной активности.
Главная цель операций — сбор учётных данных. Система массово ищет файлы конфигурации, включая .env, .git и другие источники секретов. На такие попытки пришлось более шести миллионов обращений. Дополнительно кластер изучает системные каталоги, извлекает параметры серверов и проверяет доступ к облачным ключам.