针对香港、台湾的攻击基础设施分析报告

admin 2026-07-08 05:22:44 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本报告分析了香港攻击基础设施的开放目录,发现大量凭证文件、50余个攻击脚本及USDT支付网关。攻击者利用HexStrikeAI框架对港台地区定向攻击,已确认1019个漏洞利用目标,涵盖多所高校与企业,涉及BEC诈骗与数据窃取,建议相关机构立即排查加固。 综合评分: 60 文章分类: 威胁情报,漏洞分析,WEB安全,AI安全


cover_image

针对香港、台湾的攻击基础设施分析报告

原创

独眼情报 独眼情报

独眼情报

2026年7月5日 20:04 湖北

在小说阅读器读本章

去阅读

本报告 AI 生成,我也没精力和技术一一验证,纯预警一下。

执行摘要

本次分析针对暴露在互联网上的开放目录 http:/x.x.x.x/ 进行了全面的敏感信息收集与分析。该目录属于一个活跃的网络攻击基础设施,由位于香港的服务器托管。目录中包含大量凭证文件、攻击脚本、目标列表、日志记录以及加密货币支付网关代码,完整揭示了一个有组织的网络攻击apt的全貌。

关键发现概览:

| 类别 | 数量 | 风险等级 | | — | — | — | | 凭证文件(Cookie/Session/Token) | 21+ 个文件 | 极高 | | 攻击脚本(Python/Shell) | 50+ 个 | 极高 | | 攻击目标 IP/域名 | 100+ 万 | | | 已确认漏洞利用 | 1,019 个目标 | 极高 | | 加密货币支付网关 | 2 套系统 | 极高 | | API 密钥(硬编码) | 2+ 个 | | | 密码字典 | 140+ 条 | |

一、攻击者基础设施画像

1.1 服务器信息

| 属性 | 详情 | | — | — | | IP 地址 | xx.xx.xx.xx | | 地理位置 | 香港特别行政区 | | ISP | 待确认 |

1.2 服务端口分布

该服务器同时运行多个恶意服务,构成完整的攻击链条:

xx.xx.xx.xx
├─ :9999/tcp   开放目录(回调接收 + 文件存储 + 日志收集)
├─ :8888/tcp   HexStrike AI 自动化攻击框架
├─ :80/tcp     BEpusdt USDT 加密货币支付网关
├─ :4444/tcp   Netcat 反向 Shell 监听端口
└─ :8080/tcp   可能的其他 Web 服务

1.3 攻击链条分析

[漏洞扫描] ──→ [漏洞利用] ──→ [Shell 获取] ──→ [后门部署] ──→ [持久化控制]
     ↑              ↓                ↓
[目标侦察]    [凭证窃取]      [数据窃取]
     ↑              ↓                ↓
[Shodan/FOFA]  [SMS网关滥用]   [加密货币变现]

二、敏感凭证详细分析

2.1 Cookie / Session 凭证(21 个有效文件)

重点凭证说明

A. phpMyAdmin 数据库管理后台凭证(极高风险)

攻击者获取了至少 3 个香港网站的 phpMyAdmin 管理后台访问权限:

  • xx.com.hk — 完整的用户名+密码凭证(Base64 编码形式),可直接登录数据库管理后台
  • xx.com.hk — 香港某会计师事务所/CPA公司,拥有 5 个不同的有效 Session,表明攻击者曾多次成功登录
  • xx.hk — 拥有 phpMyAdmin Session + RoundCube 企业邮件系统 Session,可同时访问数据库和企业邮件

B. 企业邮件系统(高风险)

  • rc_cookie.txt — RoundCube Webmail 的有效会话,可读取 std.hk 的企业邮件,可能包含商业机密、客户数据等

C. SMS 短信网关基础设施(高风险)

kannel.txt 包含 31 个 SMS 网关端点,包括:

  • smsgw.bigfootmediatech.com
  • sms01.rubicube.org
  • kamex.dev

这些端点可能用于发送钓鱼短信、OTP 拦截或 SMS 垃圾邮件。


2.2 API 密钥与 Token

| 密钥类型 | 值(脱敏) | 用途 | 所在文件 | | — | — | — | — | | Tavily API Key | tvly-dev-2JOd1S-ByQzc*** | AI 搜索/情报收集 | 6 个 tavily_*.py 脚本 | | Shodan API Key | XgA7I8z7x0CoQmC***Ct14 | 互联网资产搜索 | conf_scan.py | | Confluence JSESSIONID | 6AD7DEA301*** | Atlassian 会话劫持 | nuclei_conf.json | | Atlassian Token | db71290333*** | Confluence 安全令牌 | nuclei_conf.json |

Tavily API Key 被广泛用于研究 BEC(商业邮件诈骗)攻击技术,包括:

  • BEC 诈骗平均金额和 FBI IC3 统计数据
  • Microsoft 365 OAuth 同意流程变更
  • BITB(Browser-In-The-Browser)OAuth 钓鱼技术
  • 恶意 OAuth 应用注册
  • EvilTokens 刷新令牌持久化访问

Shodan API Key 用于发现香港地区的 Confluence 服务器目标。


2.3 密码字典

| 文件名 | 条目数 | 用途 | | — | — | — | | pass.txt | 16 | 通用密码(含 Cl1nkOff1c3 疑似 Communilink 公司专用密码) | | pma_pass.txt | 23 | phpMyAdmin 专用密码 | | pma_users.txt | 1 | MySQL 用户名(root) | | pma_common.txt | 101 | 常见弱密码组合 | | users.txt | 7 | 通用用户名(admin, root, postmaster 等) |

注意Cl1nkOff1c3 这个密码疑似香港 Communilink(知名 IT 服务商)的公司办公密码,具有极高的针对性。


2.4 Microsoft Azure AD 设备流认证信息

kerry_token.json 文件包含 Microsoft Azure AD OAuth 2.0 设备流认证的错误响应:

{
  "error": "authorization_pending",
  "error_description": "AADSTS70016: OAuth 2.0 device flow error...",
  "trace_id": "ca805e1b-d356-41e4-a74e-44830e930f00",
  "correlation_id": "914fe519-84ec-4ce6-83c4-3b67607a9f17"
}

这表明攻击者正在尝试使用设备代码流获取 Microsoft 365 的访问权限,可能是为了进行 BEC 攻击。


三、加密货币支付系统分析

3.1 BEpusdt(USDT 收款网关)

目录中包含完整的 BEpusdt 源代码(bepusdt_src/BEpusdt-main/),这是一个用于接收 USDT(泰达币)付款的开源加密货币网关。

关键配置:

  • 监听地址:0.0.0.0:80
  • 版本:v1.23.6-eeb7ac1
  • 支持网络:TRON、Ethereum、BSC、Polygon、Solana 等
  • 特性:兼容 Epusdt 插件、支持易支付收单、MQTT 消息广播

3.2 Epay 支付系统

epay_setup.sql 揭示了一个完整的支付系统数据库:

-- 数据库用户
CREATE USER 'epay'@'localhost' IDENTIFIED BY 'epay123';

-- TRON 钱包地址(USDT 收款地址)
INSERT INTO config (name,value) VALUES ('wallet_address','TEfUNpVQhoeVf3pKZKAordAdTH2jUJiNjb');

-- 商户配置
INSERT INTO config (name,value) VALUES ('merchant_pid','1001');
INSERT INTO config (name,value) VALUES ('merchant_key','epay2026');
INSERT INTO config (name,value) VALUES ('merchant_name','MyShop');

TRON 钱包地址TEfUNpVQhoeVf3pKZKAordAdTH2jUJiNjb

该钱包地址可用于追踪攻击者的加密货币资金流向。

3.3 资金变现链条

攻击者的收益变现模式:

[攻击成功] → [勒索/数据售卖] → [USDT 收款] → [加密货币清洗] → [法币变现]
      ↓
[BEC 诈骗] → [Wire Transfer] → [USDT 兑换]
      ↓
[SMS 网关滥用] → [钓鱼服务收费]

四、攻击目标分析

4.1 目标规模统计

| 目标类别 | 数量 | 说明 | | — | — | — | | 全球 443 端口 IP | 1,022,768 | 大规模互联网扫描 | | 香港 3000 端口 | 29,937 | 重点攻击区域 | | 全球 3000 端口 | 12,221 | Node.js/React 应用 | | 清理后香港 IP | 2,224 | 经筛选的高价值目标 | | cPanel 管理面板 | 275 | Web 托管控制面板 | | FOFA 搜索结果 | 500 | 搜索引擎资产 | | LiteLLM AI 代理 | 200 | AI 基础设施 | | 香港域名 | 252 | 枚举/生成 | | 台湾域名 | 169 | 次要目标区域 | | 已确认漏洞总计 | 1,019 | 成功利用的目标 |

4.2 香港重点目标

地理分布特征

  • 香港是首要攻击目标(.hk 域名 + 香港 IP 段)
  • 覆盖主要 ISP:HGC、PCCW、HKBN、HKT
  • 23 个香港 CIDR 网段被纳入扫描范围

受影响的香港教育机构(已确认漏洞):

| 机构 | 域名 | 漏洞类型 | | — | — | — | | 香港科技大学 | 30a.hkust.edu.hkdst.hkust.edu.hkuwrobot.hkust.edu.hk | Drupal SQL 注入 | | 香港中文大学 | shiae.cuhk.edu.hk | Drupal SQL 注入 | | 香港教育大学 | aclass.eduhk.hk | Drupal SQL 注入 | | 职业训练局 | hls.vtc.edu.hk | Drupal SQL 注入 | | 香港青年会书院 | www.yc.edu.hk | Drupal SQL 注入 |

其他值得注意的目标:

  • 香港电台 RTHK:ad-rthk-frontend.mediatech-ssc.org
  • 香港多个 cPanel 托管服务器(146 台确认存在认证绕过漏洞)

4.3 台湾目标

  • 169 个台湾域名
  • 120 个存活目标
  • 5 个确认 SQL 注入(ECShop 漏洞)
  • 包括元智大学(www.yzu.edu.tw

4.4 漏洞类型分布(已确认)

| CVE 编号 | 产品 | 漏洞类型 | 确认数量 | | — | — | — | — | | CVE-2026-28289 | Gogs | 远程代码执行 | 915 | | CVE-2026-9082 | Drupal | SQL 注入 | 44 | | CVE-2026-52806 | Gogs | 开放注册 | 45 | | CVE-2026-48908 | 通用 | 文件上传 RCE | 12 | | CVE-2026-34908 | UniFi OS | 未授权 API | 3 | | CVE-2026-56274 | Flowise | MCP 命令注入 | 多目标 | | CVE-2026-40933 | Flowise | Chatflow 导入 RCE | 多目标 | | CVE-2026-41940 | cPanel | 认证绕过 | 146 | | CVE-2026-20253 | Splunk | 预认证 RCE | 2 |

注意:所有 CVE 编号使用 2026 年份,可能是占位符或伪造编号。


五、攻击脚本与能力分析

5.1 脚本分类统计

| 类别 | 数量 | 主要目标 | | — | — | — | | Flowise 系列 | 9 | Flowise AI 工作流平台 | | Confluence 系列 | 7 | Atlassian Confluence | | Tavily 情报系列 | 6+ | BEC 攻击研究 | | cPanel 相关 | 3 | cPanel/WHM | | Drupal 相关 | 3 | Drupal CMS | | UniFi 相关 | 2 | UniFi OS | | Splunk 相关 | 2 | Splunk | | OzekiNG 相关 | 2 | SMS 网关 | | 通用工具 | 4+ | 反向 Shell、扫描等 |

5.2 代表性攻击脚本

A. LangFlow RCE 利用(callback_log.txt 证实成功)

callback_log.txt 记录了完整的 LangFlow 漏洞利用链条,包含 15+ 个成功攻陷的目标

[14:15:32] /langflow/          → 初始探测
[14:16:52] /lf_shell/          → Shell 获取 ✓
[14:17:14] /static_test_PWNED  → 标记攻陷 ✓
[14:17:56] /env_               → 环境变量窃取
[16:03:40] /langflow_poc_END_  → PoC 完成
[16:16:21] /wrote_bd           → 后门写入 ✓
[16:28:40] /rs_done            → 反向 Shell 建立 ✓

被确认的受害目标 IP

  • 43.198.14.29:7000
  • 95.40.95.74:7000
  • 3.19.55.108:9200
  • 54.205.194.143:7000
  • 44.247.21.140:20000
  • 35.94.120.121:20000
  • 等 15+ 个目标

B. 反向 Shell 工具链

| 脚本 | 功能 | C2 地址 | | — | — | — | | rev.py | Python 反向 Shell | xx.xx.xx.xx:4444 | | rs_cmd.py | 命令执行接口 | xx.xx.xx.xx:4444 | | rs_min.py | 最小化反向 Shell | xx.xx.xx.xx:4444 | | rs_ultra.py | 超轻量反向 Shell | xx.xx.xx.xx:4444 | | rs_dl.py | 下载功能 | xx.xx.xx.xx:4444 |

cb_log.txt 显示这些脚本被频繁调用(数百次请求),表明有活跃的 C2 通信。

C. BEC(商业邮件诈骗)研究脚本

tavily_oauth.pytavily_money.py 等脚本使用 Tavily API 搜索以下主题:

  • BEC 电汇诈骗平均金额
  • Microsoft 365 OAuth 同意变更
  • BITB(Browser-In-The-Browser)钓鱼技术
  • 恶意 OAuth 应用注册
  • EvilTokens 持久化访问

这表明攻击者正在系统性地研究 BEC 攻击技术,可能准备发动大规模商业邮件诈骗。

D. Kannel SMS 网关扫描器

kannel_scan.py 针对 31 个 SMS 网关进行大规模扫描:

  • 279 个 HTTP 请求
  • 144 个成功响应
  • 26 个敏感信息暴露点
  • 窃取 SMPP 密码 36 次、管理员密码 18 次、API 密钥 2 次

E. OzekiNG 大规模利用

ozeki_mass_exploit.py 是针对 OzekiNG SMS 网关的最复杂脚本(481 行):

  • 133 个目标
  • 5 个 CVE 漏洞利用
  • 包含路径遍历、文件上传、XXE 等攻击向量

5.3 HexStrike AI 攻击框架

hexstrike.log 揭示了一个名为 HexStrike AI 的自动化攻击平台:

  • 150+ 集成模块
  • 自适应 AI 决策引擎
  • Flask 后端,监听 0.0.0.0:8888
  • 命令超时:300 秒
  • 已检测到的工具:nmap、gobuster

六、日志分析——攻击活动时间线

6.1 LangFlow RCE 攻击时间线(callback_log.txt)

| 时间 | 事件 | 说明 | | — | — | — | | 14:15:16 | /test123 | 初始连接测试 | | 14:15:32 | /langflow/ | 开始 LangFlow 探测 | | 14:16:52 | /lf_shell/ | 成功获取 Shell | | 14:17:14 | /static_test_PWNED | 标记目标已攻陷 | | 14:17:56 | /env_ | 窃取环境变量 | | 15:46:52 | /pure_ | 纯净 Shell 测试 | | 15:47:54 | /hardcoded_TEST123_xyz | 硬编码凭证测试 | | 16:16:21 | /wrote_bd | 后门写入完成 | | 16:28:40 | /rs_done | 反向 Shell 建立 | | 19:59:14 | /LF_GLOBAL_* | 大规模全球攻击开始 |

6.2 环境变量窃取(cb_log.txt)

攻击者尝试窃取以下敏感环境变量:

API_KEY, PASSWORD, SECRET, TOKEN, GITHUB_TOKEN, SLACK_TOKEN,
AZURE_KEY, GCP_KEY, LANGFLOW_KEY, LANGSMITH_KEY, REDIS_URL,
DATABASE_URL, DB_URL, ANTHROPIC_KEY

这些变量名称表明攻击目标是云原生应用和 AI 基础设施

6.3 攻击基础设施运营时间

  • HexStrike AI: 2026-06-22 启动
  • LangFlow 攻击: 2026-06-22 14:15-20:01
  • BEpusdt 网关: 持续运行(版本 v1.23.6)

七、文件结构总览

/
├── [凭证文件]
│   ├── cookies.txt, ecookie, cacti_cookie
│   ├── avion_cookies.txt, avion_session.txt
│   ├── ctsi_cookies.txt
│   ├── gp168_cookies.txt, gp888_cookies.txt
│   ├── hs_cookie.txt, jensen_cookie.txt
│   ├── kannel.txt
│   ├── lc_cookie.txt, leeco_cookie.txt
│   ├── lccpa_ck.txt, lccpa_ck2.txt, lccpa_cookie.txt, lccpa_cookie2.txt, lccpa_hdr.txt
│   ├── mol_cookies.txt, pm_cookie.txt
│   ├── pma_cookies.txt, pma_headers.txt
│   ├── rc_cookie.txt, sq_cookie.txt
│   ├── std_cookie.txt, std_headers.txt
│   ├── tgr_cookie.txt, uni_cookies.txt, wf_cookies.txt
│   ├── kerry_token.json
│   └── users.txt
│
├── [密码字典]
│   ├── pass.txt
│   ├── pma_pass.txt, pma_users.txt, pma_common.txt
│
├── [配置文件]
│   ├── conf_b64.txt, conf_output.txt, conf_results.txt
│   ├── conf_targets.txt, conf_vuln.txt
│   ├── nuclei_conf.json, nuclei_conf.txt
│   └── recv_b64.txt
│
├── [攻击脚本 - Flowise]
│   ├── check_flowise.py, flowise_exploit.py, flowise_rce.py
│   ├── flowise_recon.py, flowise_deep.py, flowise_scan_hk.py
│   ├── find_flowise_hk.py, parse_flowise_hk.py
│   └── analyze_flowise_js.py, fingerprint_flowise.sh
│
├── [攻击脚本 - Confluence]
│   ├── conf_exploit.py, conf_exploit2.py, conf_scan.py
│   ├── conf_deep.py, conf_debug.py, conf_final.py, conf_full.py
│
├── [攻击脚本 - Tavily/BEC]
│   ├── tavily_adv.py, tavily_atk.py, tavily_money.py
│   ├── tavily_oauth.py, tavily_oauth2.py
│   ├── tavily_payload.py, tavily_pentest.py
│   └── tavily_cve.py, tavily_deep.py, tavily_final.py
│
├── [攻击脚本 - 其他]
│   ├── unifi_exploit.py, uni_brute.py
│   ├── drupal_spray.py, drupal_sqli_verify.py
│   ├── verify_cpanel.py, verify_splunk.py, verify_jce.py, verify_ninja.py
│   ├── cpanel_fast_scan.py
│   ├── ozeki_mass_exploit.py, kannel_scan.py
│   ├── xmlrpc_brute.py
│   └── cve2012_exploit.py
│
├── [反向 Shell 工具]
│   ├── rev.py, rs.py, rs_cmd.py, rs_dl.py, rs_min.py, rs_ultra.py
│
├── [目标列表]
│   ├── alive_targets.txt, all_targets_httpx.txt, clean_ips.txt
│   ├── hk_*.txt(香港目标), tw_*.txt(台湾目标)
│   ├── cpanel_targets.txt, drupal_targets.txt
│   ├── fofa_targets.txt, litellm_targets.txt
│   ├── tier*_confirmed.txt(已确认漏洞)
│   └── global_443.txt, port3000.txt, port3001.txt
│
├── [日志文件]
│   ├── callback_log.txt, cb_log.txt, cb_log2.txt
│   ├── bepusdt_debug.log, bepusdt_debug2.log, bepusdt_run.log
│   ├── hexstrike.log, reverse_shell_out.txt
│   └── kannel_scan_output.log
│
├── [加密货币支付]
│   ├── bepusdt_src/BEpusdt-main/(完整 USDT 网关源码)
│   ├── epay_setup.sql
│   └── epay*.zip
│
└── [其他]
    ├── extract.py, conv.py, conv50.py
    ├── check_*.py, verify_*.sh
    ├── deep_check.py, deep_exploit.py
    └── exploit/, exploit.zip, exploit2.zip

八、威胁评估与风险评级

8.1 总体威胁评级:极高

| 维度 | 评级 | 说明 | | — | — | — | | 技术能力 | | 拥有多平台漏洞利用能力,AI 驱动的攻击框架 | | 运营规模 | 极高 | 100+ 万目标,1,019 个已确认漏洞 | | 攻击意图 | 极高 | BEC 诈骗研究、加密货币变现 | | 持久化能力 | | 后门部署、反向 Shell、Session 劫持 | | 地理针对性 | | 重点针对香港和台湾 |

8.2 攻击者画像

基于分析结果,该攻击者具有以下特征:

  1. 有组织的威胁行为者:拥有完整的攻击基础设施(C2、支付网关、AI 框架)
  2. 以香港为核心目标:大量香港域名、IP 和教育机构目标
  3. 多元化攻击能力:Web 应用漏洞、AI 平台攻击、SMS 网关滥用
  4. BEC 攻击意图:系统性地研究商业邮件诈骗技术
  5. 加密货币变现:运营 USDT 收款网关用于非法收益清洗
  6. 自动化程度高:使用 AI 攻击框架和大规模扫描工具

8.3 潜在关联

  • BEC 攻击团伙:Tavily 研究主题强烈指向 BEC 攻击准备
  • 勒索软件团伙:拥有后门部署和数据窃取能力
  • 加密货币洗钱网络:BEpusdt + Epay 双支付系统

九、附录

A. 涉及的关键域名和 IP

| 类型 | 值 | 说明 | | — | — | — | | 攻击服务器 | xx.xx.xx.xx | 主基础设施 | | 回调服务器 | :9999 | 日志和文件存储 | | C2 端口 | :4444 | 反向 Shell | | AI 框架 | :8888 | HexStrike | | USDT 网关 | :80 | BEpusdt | | TRON 钱包 | TEfUNpVQhoeVf3pKZKAordAdTH2jUJiNjb | 收款地址 | | 受害域名 | lccpa.com.hk | 香港会计师事务所 | | 受害域名 | std.hk | 香港教育机构 | | 受害域名 | jensen.com.hk | 香港企业 | | 受害域名 | avionhkg.com.hk | 香港电商 | | 受害域名 | tgr.org.hk | 香港组织 | | SMS 网关 | smsgw.bigfootmediatech.com | 被扫描目标 | | SMS 网关 | sms01.rubicube.org | 被扫描目标 |


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:独眼情报 独眼情报 独眼情报《针对香港、台湾的攻击基础设施分析报告》

评论:0   参与:  0