安全公司Ctrl-Alt-Intel的分析师在5月2日截获了一组异常流量。攻击者没有试探,没有扫描,直接拿着武器化漏洞扑向菲律宾军方的域名服务器。这不是普通黑客的做派——他们清楚自己要什么,也知道门在哪里。

漏洞公开24小时内,军火就已就位

打开网易新闻 查看精彩图片

时间线拉回到4月底。cPanel的CVE-2026-41940认证绕过漏洞刚被公开,这个评分9.8的漏洞能让远程攻击者直接接管服务器控制面板。按常规剧本,企业应该有几天缓冲期打补丁。

但Censys的监测数据撕碎了这种幻想。漏洞披露后24小时内,多个第三方势力已完成武器化——Mirai僵尸网络变种、名为Sorry的勒索软件、以及本文主角:那个从95.111.250[.]175发起的精准打击。

Shadowserver的蜜罐在4月30日记录到峰值:44,000个疑似已被攻陷的IP地址正在对外扫描和暴力破解。五天后,这个数字骤降到3,540。不是攻击者收手了,是基础设施已被瓜分完毕,进入静默潜伏阶段。

东南亚军政网络成为首选靶场

攻击者的目标清单很有章法。菲律宾的*.mil.ph和*.gov.la域名、老挝政府网站、印尼国防训练门户——全是主权敏感节点。同时兼顾菲律宾、加拿大、南非、美国的托管服务商,形成"军政核心+基础设施跳板"的双层架构。

最耐人寻味的是印尼那起前置攻击。Ctrl-Alt-Intel发现,在cPanel漏洞利用之前,同一势力已渗透某国防培训平台。他们没有硬闯,而是拿着有效凭证登录,用自动化脚本绕过验证码——不是破解图像,而是从服务器返回的会话Cookie里直接读取正确答案。

「脚本使用硬编码凭证,通过读取服务器颁发的会话Cookie中的预期验证码值来绕过验证,而非正常解题。」Ctrl-Alt-Intel的技术复盘还原了这条攻击链:认证→绕过CAPTCHA→文档管理功能→在文档名字段注入SQL→远程代码执行。

这说明什么?攻击者事先已掌握内部访问权限,cPanel漏洞是扩大战果的工具,而非入场券。

工具链暴露专业级持久化能力

进入内网后,操作风格从"快速突破"转向"长期经营"。AdaptixC2框架负责指挥控制,OpenVPN和Ligolo搭建加密隧道,systemd服务实现开机自启——这套组合不是脚本小子能凑出来的。

Ctrl-Alt-Intel的溯源发现了具体战果:「攻击者利用OpenVPN、Ligolo、systemd持久化构建了一层耐久的访问层,随后利用该访问权限横向移动至内部网络,并窃取了大量中国铁路行业文档。」

铁路文档与东南亚军政目标的关联尚不明确,但数据类型本身透露攻击者的情报胃口——基础设施、物流网络、人员调度,这些在冲突场景下都是高价值目标。

托管服务商为何成为隐形软肋

攻击清单里的MSPs(托管服务提供商)值得单独拆解。这类企业掌握着成百上千客户的网站后台,但安全投入往往与责任不对等。一个cPanel实例被突破,等于为攻击者打开整片租户的房门。

菲律宾、老挝的政府网站大量使用商业托管,而非自建机房。这种"外包依赖"在预算紧张的发展中国家很常见,却制造了结构性风险:主权数据躺在私营公司的服务器上,而私营公司的补丁节奏由利润表决定。

cve-2026-41940的利用方式也印证了这种脆弱性。攻击者不需要针对每个政府网站定制方案,只需扫荡托管商的cPanel集群,就能批量收割下游租户。

漏洞响应的"黄金24小时"神话破灭

cPanel官方在事件发酵后发布了新版检测脚本,用于减少误报。但用户端的补丁速度显然跑不过攻击者的武器化速度。

Shadowserver的数据曲线很说明问题:4月30日的44,000个活跃攻击源,到5月3日只剩3,540。这不是防御胜利,是攻击阶段转换——从大规模扫描转向定点潜伏。那些消失在统计中的IP,大概率已完成权限维持,正在等待指令。

传统的"披露-评估-补丁"响应模型,在这种速度面前形同虚设。当漏洞细节公开的同时,GitHub上的PoC(概念验证代码)已被集成进自动化攻击框架,防御方的窗口期以小时计。

身份迷雾下的归因困境

目前无人认领这起行动。攻击者的工具链有专业特征,但专业不等于国家背景——AdaptixC2在地下市场有流通,Ligolo是开源隧道工具,OpenVPN更是通用基础设施。技术特征可以模仿,也可以被故意植入误导。

唯一确定的是目标偏好:东南亚军政实体、中国铁路数据、多国托管商。这种组合指向情报收集而非财务勒索,但具体服务于哪个国家的战略利益,现有证据不足以定论。

Ctrl-Alt-Intel将行动归因于"此前未知的威胁行为体",这个表述本身就很谨慎——不是APT29,不是Lazarus,是一个尚未被建档的新面孔,或者一个刻意隐藏旧身份的老手。

控制面板正在成为网络战的新前线

cPanel/WHM管理着全球数百万网站的后台。它不像操作系统那样受关注,却是更致命的单一故障点——攻破一个面板,等于同时拿到Web服务器、数据库、邮件系统、DNS记录的完整权限。

这起事件的价值在于揭示了攻击范式的转移:从"找漏洞→写利用"的工匠模式,进化到"漏洞披露→自动化武器化→批量收割"的工业化流水线。防御方的补丁速度、检测能力、响应流程,都没有为这种速度做好准备。

当44,000个被攻陷的IP在48小时内完成从扫描到潜伏的转换,我们或许需要重新评估"关键漏洞"的定义标准——不是CVSS评分,而是武器化速度和攻击者就绪度的乘积。

最后留一个开放问题:如果下一次被盯上的不是cPanel,而是你们公司正在用的那个SaaS管理后台,你的团队能在漏洞公开后的第几个小时完成隔离?