FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

安全研究人员发现一项复杂的漏洞利用活动，该活动利用托管于谷歌云基础设施上的私有带外应用安全测试（OAST, Out-of-band Application Security Testing）服务发起攻击。此攻击活动主要针对巴西境内的系统，目标涉及超过200个通用漏洞披露（CVE）。

攻击手法：利用私有OAST服务验证漏洞

OAST端点通常帮助攻击者验证命令执行、服务器端请求伪造（SSRF）及反序列化等漏洞是否成功利用。多数攻击者会使用如 oast.fun、interact.sh 等公开OAST服务，但本次威胁行为者则运营一个名为 i-sh.detectors-testing.com 的私有域名。VulnCheck的Canary威胁情报系统在2025年10月12日至11月14日期间，检测到约1400次与此基础设施相关的漏洞利用尝试。这种不寻常的私有OAST配置，使其与典型的扫描活动明显区别开来。

基础设施：全部攻击流量源自谷歌云

所有观测到的攻击流量均源自位于美国的谷歌云IP地址。已识别的扫描IP包括：34.172.194.72、35.194.0.176、34.133.225.171、34.68.101.3、34.42.21.27 和 34.16.7.161。专用的OAST主机 34.136.22.26 在80、443和389端口上运行Interactsh服务。利用谷歌云托管为其提供了战术优势。防御者很少会全面拦截大型云服务提供商的流量，这使得攻击流量易于混入合法的网络通信中。

攻击特征：专注于巴西目标，使用混合工具

尽管VulnCheck在全球范围内部署了诱捕系统（canaries），但此次攻击活动仅针对部署在巴西的系统。虽然AbuseIPDB的报告显示同一批攻击者IP曾在塞尔维亚和土耳其被标记，但VulnCheck的数据证实其攻击焦点完全集中在巴西目标上。攻击者结合使用了标准的Nuclei模板以及官方库中已不再维护的旧版本模板。例如，攻击中使用了已被弃用的 grafana-file-read 模板。该YAML模板已于2025年10月从nuclei-templates库中移除。这表明攻击者可能使用了过时的工具或第三方扫描器（如 dddd）。

自定义载荷：暴露可执行任意命令的修改文件

攻击行动还使用了自定义载荷。攻击者在端口9000上暴露了一个开放目录，其中包含一个为利用Fastjson 1.2.47漏洞而修改的 TouchFile.class 文件。与标准的Vulhub版本不同，此定制化载荷能够根据参数执行任意命令并对外发起HTTP请求。有证据表明，该攻击基础设施至少自2024年11月起便开始运作，表现出异乎寻常的持久性。大多数机会主义扫描者会快速更换基础设施，而此攻击者却保持了长期稳定的存在。

安全建议：加强监控与及时修补

参考来源：

OAST-Based Exploit Platform Targets 200 CVEs via Google Cloud Resources

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）