Главная страница » Индикаторы компрометации
0
6 дней
Индикаторы компрометации

Цепная реакция: волна атак после уязвимости в React Server Components

information security

Исследователи компании Imperva зафиксировали масштабную волну кибератак, эксплуатирующих критическую уязвимость React2Shell (CVE‑2025‑55182) в компонентах React Server Components (RSC). В течение первой недели после раскрытия деталей уязвимости было зарегистрировано более 127 миллионов попыток зондирования и эксплуатации. Эти атаки затронули свыше 87 тысяч сайтов в 128 странах, демонстрируя глобальный и автоматизированный характер угрозы.

Описание

Уязвимость React2Shell возникает из-за небезопасной десериализации на стороне сервера контролируемых клиентом данных RSC. Эта ошибка позволяет злоумышленнику выполнить удаленный код без аутентификации. Наиболее активно атакам подвергались ресурсы в США и Сингапуре. Почти половина всех инцидентов пришлась на организации сфер образования и финансовых услуг, что делает их основными целями.

Ситуацию для специалистов по безопасности осложняет лавина сгенерированных искусственным интеллектом так называемых «доказательств концепции» (Proof-of-Concept, PoC). Многие из этих образцов некорректны и основаны на ошибочных допущениях. Например, они требуют явного наличия опасных серверных функций, а не эксплуатируют саму логическую ошибку в десериализации RSC Flight. В результате защитникам приходится тратить время на фильтрацию огромного массива ложных или нерелевантных попыток эксплуатации, что затрудняет выделение реальных угроз.

Аналитики Imperva Threat Research идентифицировали несколько активных вредоносных кампаний, использующих CVE‑2025‑55182 в качестве точки входа. Эти кампании варьируются от массовых до высокоцелевых атак.

Одна из распространенных кампаний нацелена на загрузку трояна удаленного доступа (RAT) для Linux. Вредоносное ПО после установки связывается с сервером командования и управления (C2), получая инструкции в формате JSON. Эти инструкции могут включать выполнение системных команд, открытие обратной оболочки или передачу файлов. Основными целями стали организации в США, Индонезии, Таиланде, Бразилии и Великобритании, особенно в телекоммуникационном секторе, сфере финансовых услуг и бизнеса.

Отдельная высокоцелевая кампания затрагивает исключительно финансовые учреждения в Гонконге. В ней используется уязвимость для развертывания троянца Xnote RAT для Linux. По данным антивирусной компании Doctor Web, в разработке этого вредоноса, вероятно, участвовали члены китайской хакерской группы ChinaZ.

Еще одна кампания связана с загрузчиком Snowlight, который обеспечивает как первоначальный доступ, так и механизм сохранения (persistence) в системе. Этот загрузчик выполняет скрипты для извлечения и установки более сложных вредоносных нагрузок (payload), в частности, трояна удаленного доступа VShell. Snowlight ассоциируется с китайской государственной группировкой UNC5174, которая известна атаками на научно-исследовательские и образовательные учреждения, а также коммерческие и правительственные организации по всему миру.

Также наблюдается активность ботнет-кампании под названием ReactOnMyNuts, которая использует уязвимость для одновременного распространения ботнета Mirai и майнера криптовалюты XMRig. Атаки этой кампании сконцентрированы на сайтах в США, Австралии и Великобритании, особенно в сферах здравоохранения и информационных технологий.

Пятая документированная кампания, Runnv, нацелена на криптоджекинг. Злоумышленники, предположительно из Китая, с помощью уязвимости выполняют скрипт-дроппер, который загружает последующие компоненты для организации майнинга. Анализ кошельков Monero, используемых в этой кампании, показал, что на момент расследования злоумышленники получали доход около 170 долларов США в день.

Уязвимость React2Shell прошла путь от раскрытия до массовой эксплуатации в рекордно короткие сроки. Зафиксированные кампании, от атак государственных группировок до криптоджекинга, наглядно демонстрируют скорость, с которой современные угрозы используют критические уязвимости. Мониторинг глобальной активности и анализ тактик злоумышленников остаются критически важными для эффективного противодействия.

Индикаторы компрометации

IPv4

  • 139.59.59.33

URLs

  • http://128.199.194.97:9003/setup2.sh
  • http://139.59.59.33:9001/setup2.sh
  • http://139.59.59.33:9002/alive.sh
  • http://139.59.59.33:9002/lived.sh
  • http://139.59.59.33:9002/runnv.tar.gz
  • http://139.59.59.33:9002/setup2.sh
  • http://139.59.59.33:9003/alive.sh
  • http://139.59.59.33:9003/lived.sh
  • http://139.59.59.33:9003/runnv.tar.gz
  • http://139.59.59.33:9003/setup2.sh

SHA256

  • 8d73ee0b2713fa728a154c12ba71b13197484a4db7c0a2c6cd9f3076f1823624
  • 94ab4e4733e3b1ae9bfff1c15d29da0d8f3cee3ea94be567d3494bb3312de089
  • c55836f1df7c053cb389886602ab25a8001f23ded87109939507c6f90d69c6eb
  • d4d2c32a42e51da2c85509fe83e4f5dc388ecee1bdb130d88ebee6809f83bf7f
Комментарии: 0
Похожие записи
0
06.08.2025
Индикаторы компрометации

Imperva обнаружила массовую кампанию распространения троянов и вымогателей через уязвимость в Rejetto HFS

information security
19 июля исследовательская группа Imperva Threat Research зафиксировала резкий всплеск HTTP-зондирования, нацеленного на экземпляры Rejetto HTTP File Server (HFS) версии 2.
0
18.12.2025
Индикаторы компрометации

Новый высокоуровневый имплант EtherRAT атакует уязвимые веб-приложения через React2Shell

remote access Trojan
Исследователи обнаружили сложную вредоносную программу, использующую блокчейн Ethereum для управления, что указывает на возможную причастность северокорейских хакеров.
0
26.12.2025
Индикаторы компрометации

Атаки с использованием уязвимости React2Shell эволюционируют: злоумышленники тестируют новые векторы и целевые конечные точки

information security
В последние недели специалисты по кибербезопасности отмечают устойчивую волну попыток эксплуатации уязвимости, известной как React2Shell. Эта уязвимость позволяет злоумышленникам выполнять произвольные
0
19.12.2025
Индикаторы компрометации

Криптоджекинг и списки целей: в сетях обнаружена активная эксплуатация уязвимости React2Shell

information security
Исследователи кибербезопасности обнаружили в открытом доступе сервер, используемый злоумышленниками для подготовки масштабных атак с эксплуатацией критической уязвимости CVE-2025-55182, также известной как React2Shell.