Mystery OAST Tool Exploits 200 CVEs Using Google Cloud for Large-Scale Attacks
2025/11/29 gbhackers — Google Cloud インフラ上で、非公開の Out-of-band Application Security Testing (OAST) サービスを運用する高度な脅威アクターが、VulnCheck の最新調査により発見された。このキャンペーンでは、200 以上の CVE を標的とする大規模なエクスプロイトが展開されているという。
プライベート OAST ドメインへの警戒強化
世界中で Canary センサーを運用している、VulnCheck のセキュリティ研究者が発見したのは、既知のパブリック OAST プロバイダーと無関係な異常なアクティビティにおいて、未知の OAST ドメインである “detectors-testing.com” へのコールバックが発生している状況だ。
それが示すのは、oast.fun/past/pro/interact などのパブリック・サービスに依存する、一般的な OAST サービスを利用する攻撃者とは異なる、独自のプライベート・インフラを運用する脅威アクターの存在である。
調査の結果として明らかにされたのは、このインフラに関連する 200種類以上の CVE をカバーする、約 1,400件のエクスプロイト試行である。
この攻撃者は、改変した Nuclei の脆弱性スキャン・テンプレートを用いて、標的ネットワーク全体の脆弱性を探索していた。研究者たちが観測したのは、ブラジル国内で稼働している Canary Systems を標的とする悪意のアクティビティが、この活動により引き起こされている状況である。
この攻撃者は、2025年10月から 11月にかけてブラジル国内を標的としていた。この攻撃者が管理する OAST サブドメインは “i-sh.detectors-testing.com” といったパターンを持ち、攻撃成功を確認する HTTP コールバックが、侵害されたシステムから送信されていた。
記録されている事例の一つは、Ivanti Endpoint Manager Mobile のリモート・コード実行の脆弱性 CVE-2025-4428 を悪用する試みである。この攻撃は、米国を拠点とする Google Cloud インフラを介して、複数の IP アドレスにまたがるかたちで実行されている。
防御側において、正当なクラウド・サービス由来のトラフィックの遮断は容易ではない。したがって、攻撃者が主要クラウド・プロバイダーを悪用すると、通常のネットワーク・アクティビティに悪意の通信が容易に紛れ込んでしまう。
VulnCheck は、Google Cloud 上で運用されている6つのスキャナ用 IP アドレスと、1つの専用 OAST ホストを特定した。そのうち、”34.136.22.26″ に配置される OAST サーバは、2024年11月から少なくとも 1 年間にわたり、複数のポートで Interactsh サービスを実行し続けている。
標準的な Nuclei テンプレートに加えて、この攻撃者は技術的能力を示すカスタム・ペイロードを展開している。こうした活動の中で、研究者たちが発見したのは、攻撃者サーバにホストされ改変された “TouchFile.class” の Java エクスプロイト・ファイルである。
このファイルは、標準的な Fastjson 1.2.47 のエクスプロイト手法を拡張し、コマンド実行機能と HTTP コールバック機能を追加している。さらに、攻撃者は公式リポジトリから削除された旧式の Nuclei テンプレートも利用しており、公開ツールに依存しない独自改変のスキャン・ツールキットを維持していることが示されている。
侵害の兆候 (IOC)
組織は detectors-testing.com およびそのサブドメインへの接続を監視する必要がある。
また、このキャンペーンに関連する Google Cloud 上の IP アドレスとして、34.172.194.72/35.194.0.176/34.133.225.171/34.68.101.3/34.42.21.27/34.16.7.161/34.136.22.26 が挙げられている。
セキュリティ・チームにとって必要なことは、インターネットに公開されているアプリケーションに存在する既知の脆弱性、とくに現在悪用されている 200 以上の CVE について、パッチが適用されていることを確認することである。異常な OAST コールバックのネットワーク監視と定期的な脆弱性評価は、このような持続的なスキャン活動に対する重要な防御手段として引き続き有効である。
Google Cloud 上に独自の OAST 基盤を構築した脅威アクターが、既知の脆弱性を悪用する一斉攻撃を仕掛けているようです。一般的な公開 OAST サービスではなく、非公開ドメインを使って検知を避けていることが、防御側にとって厄介な点です。また、正規クラウドの通信に紛れてしまうため、通常の監視では見落としやすい構造になっていると、この記事は指摘しています。よろしければ、用語集の OAST も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.