Уязвимость React Server Components спровоцировала хаос: как киберпреступники устроили гонку за уязвимым сервером

В рассмотренном инциденте за короткий промежуток времени один и тот же сервер был скомпрометирован несколькими независимыми группами злоумышленников, что привело к одновременному развертыванию криптомайнеров, бэкдоров, удаленных троянов (RAT) и даже к дефейсу (взлому) веб-сайта. Атака началась 5 декабря 2025 года, практически сразу после раскрытия уязвимости 3 декабря. Первыми, уже 5 декабря, на сервер проникли майнеры криптовалюты, такие как xmrig. Однако это был лишь первый этап. Уже на следующий день, 6 декабря, другие злоумышленники установили бэкдор HISONIC, который, по данным угрозной разведки, связывают с группировкой UNC6603.

Параллельно началась установка более сложных инструментов. Злоумышленники развернули загрузчик (downloader) SNOWLIGHT, ассоциируемый с другой группировкой - UNC5174, и Linux-версию фреймворка Cobalt Strike под названием CrossC2 RAT. Эти инструменты обычно используются для создания плацдарма для дальнейших атак, кражи данных или перемещения по сети. Особенностью данного случая стало злонамеренное использование легитимного инструмента с открытым исходным кодом - Global Socket (gsocket). Атакующие настроили его как замаскированный бэкдор, используя порт 53 (традиционно для DNS), что позволяло им удаленно управлять сервером через оболочку bash, обходя ограничения сетевых экранов.

Кульминацией видимых последствий стал дефейс веб-сайта вечером 7 декабря. На скомпрометированных страницах злоумышленники разместили предупреждение на четырех языках, указывающее на наличие уязвимости CVE-2025-55182 и призывающее немедленно применить патчи. Подобные взломы были зафиксированы на множестве сайтов по всему миру. Важно отметить, что этот визуальный сигнал стал лишь верхушкой айсберга. Инцидент был обнаружен не системами мониторинга, а благодаря бдительному пользователю, сообщившему об изменении сайта. К этому моменту сервер уже был глубоко скомпрометирован.

Анализ логов веб-сервера показал еще более тревожную картину. В период с 5 по 7 декабря было зафиксировано более 100 подозрительных обращений с разных IP-адресов, которые, вероятно, были попытками эксплуатации уязвимости React2Shell. Это позволяет предположить, что количество атакующих, пытавшихся получить контроль над сервером, было значительно больше, чем те, кому это удалось. Сервер превратился в цифровое поле битвы, где различные киберпреступные группы конкурировали за ресурсы и контроль.

Данный случай является ярким примером современной динамики киберугроз. Период между раскрытием уязвимости и ее активной эксплуатацией в дикой природе сократился до минимума. Угрозы действуют с чрезвычайно высокой скоростью, часто автоматизированными способами. Это создает беспрецедентное давление на команды информационной безопасности. Патчи и обновления необходимо применять в режиме, близком к реальному времени, особенно для таких критических компонентов, как фреймворки веб-разработки.

Однако, как показывает этот инцидент, простое исправление уязвимости после ее раскрытия может быть недостаточно. Если система уже была целью атак, она, вероятно, уже скомпрометирована. Поэтому критически важным шагом является не только установка заплаток, но и тщательное расследование на предмет возможного взлома. Необходимо искать следы нежелательной активности, такие как несанкционированные процессы, изменения в планировщике задач cron или подозрительные сетевые соединения. Видимые последствия, подобные дефейсу, могут отвлекать внимание от более скрытых и опасных угроз, таких как установка бэкдоров для долгосрочного доступа (persistence).

История с уязвимостью React2Shell должна стать уроком для всех организаций. Она подчеркивает, что окно для реагирования на критические уязвимости сегодня измеряется не днями, а часами. Промедление с оценкой воздействия и применением контрмер неизбежно ведет к тому, что системы становятся мишенью для многочисленных и разнородных киберпреступных группировок, каждая из которых преследует свои цели - от быстрой наживы до создания плацдарма для будущих сложных атак.

IPv4 Port Combinations

• 154.89.152.240:443
• 45.143.131.123:59999

SHA256

• 0c748b9e8bc6b5b4fe989df67655f3301d28ef81617b9cbe8e0f6a19d4f9b657
• 0d07a974993221305ca7af139b73d9de1dcd992f553215e4f041e830a2d82729
• 1a1edbea47162b1aa844252fcd4fb97f2a67faec1993e7819efc6a04b7c15552
• 4a74676bd00250d9b905b95c75c067369e3911cdf3141f947de517f58fc9f85c
• 5baa52387daedea5e3e00adf96ecacb4a2cdc98100664f29ac86e8e4a423baaf
• 5bae25736a09de5f4a0f9761d2b7bfa81ca8dba39de2a724473c9d021a65daa9
• a536d755313ce550a510137211eca6171f636fb316026e9df8523c496c8fcd12
• ac3e12fa0aa4d6e4eed322e81ecf708a8c9bea29247ae6b26cc39d3b3a6c2fb8
• ba43e447e63611d365300bf2e8e43ccb02ea112778d0d555ef9a9ccf6169808b
• c1a9cfc62626118bd9f54e401fd52ecd2d766a5e8a69dbc7db909ea5c987fcc0
• cb5f62bf7b591e69bd38e6bf8e40e8d307d154b2935703422d44f02e403d2e78