安全研究员发现,针对 WordPress 插件 Gravity SMTP 漏洞 CVE-2026-4020 的攻击行动并非群雄逐鹿,而是一个高度组织化的云端“收割舰队”在执行单一操作。该漏洞于 5 月底曝光,未经认证的攻击者可通过 REST 端点获取插件的 SMTP 凭据、SendGrid 和 Mailgun API 密钥等敏感信息。传感器日志显示,566 个攻击 IP 中 99.1% 使用同一个 HTTP 指纹,背后是一台在 Google Cloud 上按日租赁的机器集群。
为什么“数百个攻击者”其实是同一个
传统安全分析方法依赖 IP 和 User-Agent 区分攻击者,但该操作刻意破解了这两道防线。其 HTTP 指纹哈希(JA4H)固定为 ge11nn0500_9af7e0472034,由请求的方法、版本、标头顺序等底层特征生成,攻击者无法伪装。而 User-Agent 则随机轮换多达 3299 个,包括黑莓 9800、Android 1.5 等早已过时的浏览器字符串,用以欺骗防御系统。
该操作自 2 月 19 日起已活跃,累计从 92 个网络、43 个国家的 3,158 个 IP 发出约 48 万次请求。87% 的流量来自 Google Cloud 的单一自治系统 AS396982,IP 解析为 *.bc.googleusercontent.com 的实例,分布于至少十个国家。在 6 月 14 日至 15 日的高峰期,它同时运行了 2,443 个不同实例,完成约 37.4 万次扫描,随后迅速下线。
扫描的不是漏洞,而是凭证
该操作的请求列表共 904 个路径,约四分之三直接指向 .env 文件、Git 配置、云服务密钥、基础设施状态文件(如 terraform.tfstate)以及数据库转储。它不尝试漏洞利用或暴力破解,而是将每个新的信息泄露漏洞视为又一个返回凭证的端点——CVE-2026-4020 只是它清单上最新的一行。
扫描范围远超 Web 常用端口:它遍历了 36,000 个目标端口,包括 Docker(2375/2376)、etcd(2379/2380)、Kubernetes(6443)、MongoDB(27017)、Postgres(5432)、Elasticsearch(9200)以及 Ollama API(11434)等基础设施端口,一旦发现暴露的服务就尝试提取环境变量和密钥。
影响:凭据收割的工业化
这一发现揭示了一个被低估的风险:基于独立 IP 计数的威胁情报可能严重低估攻击者的实际规模。安全社区此前记录的 412 个不同攻击 IP(CrowdSec 数据)与本文的 566 个 IP 实际对应的是同一个行动。结合 DFIR Report 此前在 4 月发现 Bissa 扫描器在 11 天内收集了 3 万个 .env 文件并上传至云存储,以及 Google 2026 上半年威胁报告指出 83% 的云入侵源自凭据泄露,本次分析清晰展示了这条“凭据供应链”的采集端面貌。
编注:信源为 Honeylabs 博客技术分析,基于传感器日志与 JA4H 指纹分析,覆盖攻击者基础设施、扫描行为与时间线,未涉及漏洞修复或受影响用户统计。