Исследователи кибербезопасности в ходе рутинного поиска угроз в открытых директориях с помощью платформы Censys выявили активность злоумышленников, которые по неосторожности оставили открытыми логи и базы данных своего командного центра Sliver C2. Анализ этих данных показал, что группа успешно скомпрометировала множество устройств FortiWeb для развертывания вредоносного фреймворка Sliver. Кроме того, злоумышленники использовали уязвимость React2Shell и инструмент fast reverse proxy для удаленного доступа к сервисам на зараженных хостах.
Описание
Исследование началось с обнаружения открытых директорий, содержащих конфиденциальную информацию о кампании. Подобные находки часто оказываются временными, но некоторые из них были заархивированы на платформе Hunt.io. Это позволило экспертам детально изучить методы работы угрозы. Изначальный доступ к системам жертв был получен через эксплуатацию публичных уязвимостей. В частности, подтверждено использование уязвимости CVE-2025-55182 в React2Shell. Также были атакованы многочисленные устройства FortiWeb, все из которых работали на устаревших версиях программного обеспечения. Точный вектор атаки на FortiWeb остается неизвестным, так как исследователям не удалось найти эксплойт.
Командная инфраструктура злоумышленников базировалась на доменах ns1.ubunutpackages[.]store и ns1.bafairforce[.]army. Первый домен, зарегистрированный в конце декабря 2025 года, маскировался под легитимный сайт обновлений пакетов Ubuntu. Второй домен, созданный тремя месяцами ранее, использовал страницу-приманку, имитирующую сайт ВВС Бангладеш. Этот выбор не был случайным. Анализ показал, что среди жертв, обращавшихся к этому домену, могли быть организации именно из Бангладеш, что указывает на целенаправленный характер части операций.
На скомпрометированных устройствах FortiWeb зловредный бинарный файл Sliver размещался по пути /bin/.root/system-updater. Анализ баз данных показал, что большинство зараженных хостов работали под управлением устаревших версий FortiWeb 5.4.202 и 6.1.62. География жертв оказалась широкой: устройства были обнаружены в США, Саудовской Аравии, Индии, ЮАР и Китае. Для обеспечения устойчивости злоумышленники использовали несколько техник. Они создавали сервисы Systemd с названиями вроде "Updater Service" для автоматического запуска вредоносной нагрузки. Также модифицировался конфигурационный файл supervisord.conf для постоянного выполнения Sliver C2.
После закрепления в системе атакующие развертывали дополнительные инструменты для проксирования трафика. Основным инструментом стал Fast Reverse Proxy. Конфигурация для него загружалась с удаленного сервера на IP-адрес 45.83.181[.]160. Параллельно использовался открытый инструмент microsocks, который был переименован в cups-lpd. Этот ход позволил маскировать SOCKS-прокси под легитимный сервис демона печати CUPS, который по умолчанию использует порт 515. Данный сервис также был прописан в Systemd для автоматического запуска. В бинарном файле microsocks были обнаружены жестко заданные учетные данные, которые могли использоваться для управления прокси.
Жертвами кампании стали как минимум 30 уникальных IP-адресов. Среди них были организации из финансового и государственного секторов Пакистана и Бангладеш. Первый командный домен был зарегистрирован за три месяца до активной фазы, однако основное количество хостов было скомпрометировано за восемь дней в конце декабря 2025 года. Это указывает на высокую скорость распространения угрозы после начала активных действий.
Данный инцидент демонстрирует серьезный пробел в защите периферийных устройств, таких как межсетевые экраны и веб-защита. Эти устройства часто не имеют встроенных систем антивируса или EDR, и на них редко устанавливаются сторонние агенты безопасности. В результате обнаружение сложных угроз вроде Sliver на таких платформах становится чрезвычайно трудной задачей. В данном случае доказательства компрометации были получены только благодаря ошибке операторов, оставивших логи открытыми. Эксперты подчеркивают важность своевременного обновления прошивок на всех сетевых устройствах и мониторинга нестандартной сетевой активности, даже исходящей из доверенных элементов инфраструктуры.
Индикаторы компрометации
IPv4
- 192.81.210.81
- 193.233.201.12
- 195.20.17.253
- 45.143.167.7
- 45.150.108.43
- 45.83.181.160
- 80.78.18.142
Domains
- ns1.bafairforce.army
- ns1.ubunutpackages.store
- testing.caai.in
URLs
- https://ns1.bafairforce.army
- https://ns1.ubunutpackages.store
SHA256
- 172a9ee9601ef0eb6fbd2676742edfb201c10369712dbf721e5d105aa1320a32
- 2897ee24de4cca2a4c6a085cf6fdccb6a89c6c23978529d81b4f4e6db46b0b96
- 3c24f30f2ca89d408d42293cab8fbb81cb9c2b0801074ef40f0a79770dac5956
- 4086057b9a0f9898c07318e093814ae9cfdaaf6ad71a45b2d0d4cd75e57f9354
- 964473ffbd593fc52a779b1d699c79cc66b459cf842c2e6221703e2e6a2322c0
- dafc7517669e931de858464966af995c44c2e7c6bdf684d53c54d6503cd48a38