文章总结： Pentera调查发现黑客正利用DVWA等安全测试应用程序入侵财富500强企业云环境。由于测试应用配置错误且关联高权限IAM角色，攻击者得以部署挖矿程序及Webshell。建议组织维护资产清单、严格隔离测试环境、修改默认凭证并实施最小权限原则以规避风险。 综合评分： 91 文章分类： 威胁情报,云安全,漏洞预警,WEB安全,安全建设

黑客利用安全测试应用程序入侵财富 500 强企业

Rhinoer Rhinoer

犀牛安全

2026年1月29日 00:00 北京

攻击者正在利用配置错误的用于安全培训和内部渗透测试的 Web 应用程序（例如 DVWA、OWASP Juice Shop、Hackazon 和 bWAPP）来获取对财富 500 强公司和安全厂商云环境的访问权限。

自动化渗透测试公司 Pentera 的一项调查发现，有证据表明黑客正在利用这种攻击途径来入侵系统并部署加密货币挖矿程序、植入 webshell 或转向敏感系统。

这些测试用的 Web 应用程序故意设置了漏洞，当它们暴露在公共互联网上并从特权云账户执行时，会构成严重的安全风险。

Pentera 的研究人员在公共网络上发现了 1,926 个处于活动状态且存在漏洞的应用程序，这些应用程序通常与权限过高的 IAM（身份和访问管理）角色相关联，并部署在 AWS、GCP 和 Azure 云环境中。

据 Pentera 称，这些被泄露的应用程序属于多家财富 500 强公司，包括 Cloudflare、F5 和 Palo Alto Networks，这些公司已收到研究人员的发现并修复了这些问题。

这些实例中有很多暴露了云凭证集，没有遵循“最小权限”建议的做法，而且在超过一半的情况下仍然使用默认凭证，从而很容易被接管。

Pentera 在调查中发现的凭证可能使攻击者能够完全访问 S3 存储桶、GCS 和 Azure Blob 存储，对 Secrets Manager 拥有读写权限，与容器注册表进行交互，并获得对云环境的管理员访问权限。

正在进行积极开发

Pentera Labs 在一份与 BleepingComputer 分享的报告中证实，这种风险并非理论上的，黑客已经利用了这些入口点。

研究人员表示：“在调查过程中，我们发现了确凿的证据，表明攻击者正在积极利用这些攻击途径——在受感染的系统上部署加密货币挖矿程序、webshell 和持久化机制。”

在评估几个配置错误且存在漏洞的应用程序时，发现了系统遭到入侵的证据。研究人员在这些机器上建立了 shell 权限，并枚举数据，试图确定机器的所有者。

Pentera 在报告中表示：“在发现的 616 个 DVWA 实例中，约有 20% 被发现包含恶意行为者部署的痕迹。”

加密货币挖矿活动使用了 XMRig 工具，该工具在后台积极挖掘门罗币 (XMR) 加密货币。

研究人员还发现了一种使用名为“watchdog.sh”的脚本的高级持久化机制。如果该脚本被删除，它会从 base64 编码的备份中恢复自身，并再次从 GitHub 下载 XMRig。

该脚本还会从 Dropbox 账户下载使用 AES-256 密码加密的其他工具，并杀死受感染主机上存在的竞争对手挖矿程序。

其他案例涉及部署名为“filemanager.php”的 PHP webshell，该 webshell 支持文件操作（读取、写入、删除、下载、上传）和命令执行。

该 webshell 包含硬编码的身份验证凭据，并将时区设置为欧洲/明斯克 (UTC+3)，这可能暗示了操作员的来源。

Pentera 澄清说，这些恶意程序是在通知 Cloudflare、F5 和 Palo Alto 之后发现的，这些公司已经修复了这些问题。

研究人员建议各组织维护一份全面的云资源清单，包括测试应用程序，并将其与生产环境隔离。

此外，应强制执行非生产系统的最小权限 IAM 角色，更改默认凭据，并为临时资源设置自动过期。

Pentera 的报告详细描述了调查步骤，并包含了用于发现和探测漏洞实例以及识别其所有者的工具和方法的信息。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《黑客利用安全测试应用程序入侵财富 500 强企业》