От эксплойта React2Shell до реального взлома: незакрытый dev-сервер привёл к компрометации Windows

Уязвимость, получившая максимальный балл 10.0 по шкале CVSS, была официально раскрыта командой React Engineering 3 декабря 2025 года. Она позволяет неавторизованному удалённому злоумышленнику выполнять произвольный код на сервере через специально сформированные HTTP-запросы. По сути, оптимизации в логике обработки серверных компонентов React привели к тому, что определённые данные интерпретируются без должной валидации.

В наблюдаемом случае атака началась с эксплуатации React2Shell на сервере IIS, где работало веб-приложение с уязвимой версией React. Интересно, что первоначально злоумышленники ошибочно полагали, что имеют дело с Linux-системой. В течение почти недели они безуспешно пытались выполнять команды и скрипты, предназначенные для UNIX-систем, такие как "grep", "bash" и "busybox". Эти попытки закономерно проваливались из-за несовместимости с операционной системой Windows.

Осознав свою ошибку, атакующие оперативно сменили тактику. Они перешли к выполнению нативных Windows-команд, таких как "whoami", "ipconfig" и "net", для изучения окружения. Затем последовали попытки загрузки вредоносных полезных нагрузок с известных зловредных доменов. Кроме того, для обеспечения постоянного доступа злоумышленники попытались установить программу для удалённого администрирования AnyDesk. Однако эти действия были заблокированы политикой безопасности «запрещено по умолчанию».

После этого фокус атаки сместился в сторону криптоджекинга. Основной целью стало развёртывание майнера Monero «xmrig» для скрытого использования ресурсов заражённого сервера. Анализ загруженных скриптов раскрыл несколько техник уклонения от обнаружения. Например, для сокрытия процесса майнера использовалось создание bind mount, перенаправляющего информацию о процессе в каталог ядра "/proc/2". Также стандартные системные утилиты, такие как "curl" и "wget", переименовывались в "cual" и "wgat" соответственно, чтобы обойти сигнатуры систем обнаружения.

Скрипты содержали и агрессивные меры по нейтрализации защитных механизмов. В частности, отключался простой межсетевой экран UFW, а правила "iptables" подменялись для разрешения всего трафика. Примечательно, что последующая команда немедленно удаляла все правила, что указывает на неотлаженный и противоречивый характер кода. Кроме того, специально таргетировалось антивирусное решение Alibaba Cloud TDS, для которого загружались скрипты удаления и блокировались связанные IP-адреса.

Данная кампания демонстрирует характерные черты массового криптоджекинга: неспецифичный, высокообъёмный подход и стремление максимально использовать ресурсы жертвы, часто в ущерб стабильности самой системы. Поведение атакующих больше соответствует тактикам неопытных злоумышленников, нежели сложным APT-группам. Между тем, инцидент подчёркивает критическую важность базовых мер безопасности.

Эксперты единодушно отмечают, что подобные атаки становятся возможными из-за пренебрежения фундаментальными принципами. Во-первых, ключевым фактором стала задержка с установкой патча для критической уязвимости. Во-вторых, разработческий сервер был ошибочно выставлен в публичную сеть без должной защиты. Эти две ошибки создали идеальные условия для взлома. Своевременное обновление программного обеспечения и строгое следование принципу минимальных привилегий для внешнего периметра могли бы предотвратить инцидент или значительно снизить его последствия.

Угроза эксплуатации React2Shell остаётся актуальной. Команда React настоятельно рекомендует всем пользователям немедленно обновиться до пропатченных версий фреймворка. Этот случай служит очередным напоминанием о том, что безопасность - это цепочка, и её прочность определяется самым слабым звеном, которым зачастую оказывается незащищённая вспомогательная инфраструктура.

IPv4

• 104.18.50.34
• 115.42.60.97
• 128.199.194.97
• 139.59.59.33
• 149.248.44.88
• 178.63.67.106
• 178.63.67.153
• 205.185.126.196
• 37.114.37.82
• 37.114.37.94
• 59.7.217.245
• 64.79.148.161
• 92.246.87.48

IPv4 Port Combinations

• 115.42.60.126:10086
• 115.42.60.97:61160
• 154.89.152.151:9200
• 154.89.152.168:9200
• 154.89.152.170:9200
• 23.27.143.210:19243
• 39.59.59.33:9004
• 45.144.55.111:443
• 92.246.87.48:5000

Domains

• auto.c3pool.org
• meomeoli.mooo.com
• mooo.com

Domain Port Combinations

• clearskyspark.top:9200
• deepcloudspark.top:9200
• greenhillmatrix.top:9200
• silentmountcode.top:9200

URLs

• http://commons-taylor-prayers-lunch.trycloudflare.com
• http://kf.layuijs.top/Log.php?id=aHR0cHM6Ly82NC43OS4xhDguMTYx
• https://data-sugar-undefined-unsubscribe.trycloudflare.com
• https://pub-dc84e32afcfa417fa04d36454032549b.r2.dev

SHA256

• 23eded51dc1d8e053bb50249fbf36a2f57cf6f138626e33891e958e8c842fb71
• 2530ebc8e77c784ffe628b3588739ff096a2af4437656144983d1ba04b11538f
• 4e628f3cf63563340d8bbca977f2c6a631129a6b679d463a6690ec223ec2580a
• 5ec5cb22734683121d6bd84d3c0bb7c8ed7b48f510bb1798b4df4367907e7d22
• 75d25ad8cedb8db31f2b34b87b8ec67dbd1893ddbd0ac551a96e8834e9e181ee
• ae4991476ed082920e674457f4eceb71367265f4d2150b89214abceb9ebf2407
• d2942d3b9b2e2dc98a34dc5a0d35c0ff7cb5ab419dfba7b1fca32fb6927732c4
• d3a5ae68b714fe3f575e7f9affb65c66ee9e16849c28fa040bd66f553d0ff7b5
• d40e2061de8aaa414a34cb989d7163493017f5189423f81f16a299eafc7d5aa8
• e4e170691634d841e8976ae918d2df223feb359db7f4b1c11a6669618bce648d