Главная страница » Индикаторы компрометации
0
20 часов
Индикаторы компрометации

Уязвимость React2Shell активно эксплуатируется для атак на российский бизнес и распространения разнообразного вредоносного ПО

information security

В декабре 2025 года специалисты подразделения Threat Detection and Response (TDR) компании BI.ZONE зафиксировали серию кибератак, нацеленных на российские компании из секторов страхования, электронной коммерции и информационных технологий. Основой для этих инцидентов стала эксплуатация критической уязвимости CVE‑2025‑55182, известной как React2Shell. Эта уязвимость связана с небезопасной десериализацией в протоколе Flight, который обеспечивает взаимодействие клиента и сервера в React Server Components. Проблема позволяет злоумышленнику выполнить произвольный код на уязвимом сервере.

Описание

Аналитики BI.ZONE Threat Intelligence отмечают, что в большинстве атак на российские организации финальной полезной нагрузкой (payload) становился криптовалютный майнер XMRig. Однако в ряде случаев злоумышленники развертывали более сложные угрозы. В частности, наблюдалось распространение ботнетов Kaiji и RustoBot, а также импланта Sliver, который часто используется для создания каналов удаленного доступа.

Инциденты демонстрируют типичный сценарий постэксплуатационной активности. После успешного проникновения через уязвимость React2Shell атакующие выполняли на скомпрометированных хостах ряд команд. Эти команды были направлены на загрузку и исполнение вредоносных скриптов, которые, в свою очередь, устанавливали основное вредоносное ПО. Например, в одном из случаев загружался исполняемый файл "bot", представлявший собой ботнет RustoBot. Этот ботнет, написанный на языке Rust, способен проводить распределенные атаки на отказ в обслуживании (DDoS) и содержит в себе встроенный майнер XMRig.

В другом инциденте после первоначального доступа злоумышленники развернули ботнет Kaiji. Эта вредоносная программа обладает широким функционалом. Она не только проводит DDoS-атаки, но и может выполнять произвольные команды в системе. Кроме того, Kaiji применяет сложные техники закрепления в системе (persistence), маскируется под легитимные процессы и также развертывает майнер. Отдельное внимание привлекло использование импланта Sliver, который злоумышленники устанавливали с помощью скрипта "d5.sh". Этот скрипт в зависимости от уровня привилегий использовал разные методы для обеспечения автозапуска вредоносной нагрузки и тщательно очищал следы своей деятельности.

Параллельно эксперты обнаружили активность, связанную с эксплуатацией той же уязвимости React2Shell, но направленную на цели за пределами России. В этих атаках наблюдалось еще большее разнообразие конечного вредоносного ПО. Злоумышленники распространяли имплант CrossC2 для фреймворка Cobalt Strike, средство удаленного администрирования Tactical RMM, загрузчики и бэкдор VShell, а также новый троян удаленного доступа EtherRAT. Последний особенно интересен своей сложной архитектурой. EtherRAT использует для управления смарт-контракты в блокчейне Ethereum и способен выполнять получаемые с сервера сценарии, включая сбор конфиденциальных данных и модификацию конфигураций веб-серверов.

Проведенный анализ позволяет сделать несколько важных выводов для специалистов по информационной безопасности. Во-первых, критические уязвимости могут быть быстро интегрированы в арсенал злоумышленников. Во-вторых, простое устранение уязвимости часто бывает недостаточно. Крайне важно проводить глубокий анализ систем на предмет следов успешной эксплуатации и постэксплуатационной активности. В-третьих, атаки с использованием таких уязвимостей часто носят массовый характер и сопровождаются разнообразными вредоносными действиями, от майнинга до создания полноценных каналов удаленного доступа.

Уязвимость CVE‑2025‑55182 затрагивает пакеты "react-server-dom-webpack", "react-server-dom-parcel" и "react-server-dom-turbopack" в версиях 19.0, 19.1.0, 19.1.1 и 19.2.0. Исправления выпущены в версиях 19.0.1, 19.1.2 и 19.2.1. Специалистам настоятельно рекомендуется немедленно обновить уязвимые зависимости, пересобрать проекты и убедиться в отсутствии в системе следов компрометации. Проекты на Next.js, использующие React Server Components, также подвержены риску и требуют проверки и обновления. Регулярный мониторинг источников информации об угрозах остается ключевой практикой для своевременного реагирования на подобные инциденты.

Индикаторы компрометации

IPv4

  • 103.135.101.15
  • 154.89.152.240
  • 176.117.107.154
  • 45.137.201.137

IPv4 Port Combinations

  • 107.173.89.153:60051
  • 109.238.92.111:8000
  • 128.199.194.97:9001
  • 154.89.152.151:9200
  • 154.89.152.168:9200
  • 154.89.152.170:9200
  • 154.89.152.247:9200
  • 156.67.221.96:443
  • 193.24.123.68:3001
  • 194.41.112.90:44999
  • 216.158.232.43:12000
  • 45.134.174.235:443
  • 91.215.85.42:3000

Domains

  • 6krinewb458nhqqmueotgawip9v1jr7g.oastify.com
  • bitcoinbandit.anondns.net
  • cryptoenjoyers.anondns.net
  • dontblockme.anondns.net
  • ilefttotolinkalone.anondns.net
  • keep.camdvr.org
  • oia0lwut2n65f8o4swmbesu0nrtih95y.oastify.com
  • rustbot.anondns.net
  • sitiolibre.com
  • tr.earn.top
  • www.chatgptaiweb.top

Domain Port Combinations

  • clearskyspark.top:9200
  • deepcloudspark.top:9200
  • greenhillmatrix.top:9200
  • kds3s.oks0418.com:12348
  • pool.hashvault.pro:443
  • silentmountcode.top:9200

URLs

  • http://103.135.101.15/wocaosinm.sh
  • http://107.173.89.153:60051/slt
  • http://109.238.92.111/ch.sh
  • http://109.238.92.111:8000/upload
  • http://128.199.194.97:9001/alive.sh
  • http://128.199.194.97:9001/lived.sh
  • http://128.199.194.97:9001/runnv.tar.gz
  • http://128.199.194.97:9001/setup2.sh
  • http://154.89.152.240/a_x64
  • http://154.89.152.240/a_x86
  • http://176.117.107.154/bot
  • http://193.24.123.68:3001/gfdsgsdfhfsd_ghsfdgsfdgsdfg.sh
  • http://216.158.232.43:12000/sex.sh
  • http://45.134.174.235:443/2.sh
  • http://45.134.174.235:443/a1.sh
  • http://45.134.174.235:443/a2.sh
  • http://45.134.174.235:443/a3.sh
  • http://91.215.85.42:3000
  • http://91.215.85.42:3000/crypto/keys
  • http://keep.camdvr.org:8000/BREAKABLE_PARABLE5
  • http://keep.camdvr.org:8000/d5.sh
  • https://156.67.221.96/meshagents?id=hrfDDhB@yNf4oBrCH@R$KfVp27XfA78LiX@IZUxoTgs3zCwG$bjdpR@0oa8@BhTf&installflags=0&meshinstall=6
  • https://sitiolibre.com/wp/wp-content/plugins/gassembly/js/love0
  • https://tr.earn.top/apaches.sh
  • https://tr.earn.top/config.json
  • https://tr.earn.top/Log.php?id=MIIKN
  • https://tr.earn.top/nginxs
  • https://webhook.site/63575795-ee27-4b29-a15d-e977e7dc8361

WebSockets Secure

  • wss://156.67.221.96:443/agent.ashx

SHA256

  • 013041d5a4a13a5b2703b28dce68920fd00f078fa02a09b7e293485c0fb16ab8
  • 0c748b9e8bc6b5b4fe989df67655f3301d28ef81617b9cbe8e0f6a19d4f9b657
  • 13675cca4674a8f9a8fabe4f9df4ae0ae9ef11986dd1dcc6a896912c7d527274
  • 160f6727f403bb1eba84c0b5fad4d9d14c0d1269a28dfa5c173e9612396e3274
  • 286035e965feb40d0ec2cf85b80c26bced871f227e96e6d5ff21c3cf4df48caa
  • 2b43a42f8957a619682540aac3ee0816c2acc3126f9029b25061f2b4bb8d654d
  • 2b7878ab17f5ae138fe92ca46489de484eb55e185583f4a361a8a07f126763c8
  • 2cd41569e8698403340412936b653200005c59f2ff3d39d203f433adb2687e7f
  • 324b9ad3a186b3e11bddfa05994b88eca3719e5c1999aa50430d808c4ba2b6d5
  • 3854862bb3ee623f95d91fa15b504e2bbc30e23f1a15ad7b18aedb127998c79c
  • 3f0188436a8047a075c18f88699fb5e96fab3bde11ca037c334ec7de0fe62c02
  • 466a46ed4f80ef12d2e2ba1c8014315a4aa33483135386af57bec5d6a57a8359
  • 4a74676bd00250d9b905b95c75c067369e3911cdf3141f947de517f58fc9f85c
  • 4c93d69fabc1fc2b297131bd09363ea0bdaa314e143461aaf5dd91c5f1f86684
  • 5705469d5f53fb34615486a5a16b1e8ca4374b3e7856ea867cab8cea6a2f2601
  • 62d402fd81bb9a286b7d012b69a2bea8dcb8a0796cdf40f4adf05492d626762d
  • 64cc57dd46d69353cfaf55e70d95fb5e6a39086b6323e5b3387447ad650e23a2
  • 67aea5b0ffceacaa932c47b3cddd527d393856fa900a19a225afe9203ce005e0
  • 765baba34f8f1ccdc212a2352d31522a268de902f8802ee934867aabf54fd6d3
  • 7e0a0c48ee0f65c72a252335f6dcd435dbd448fc0414b295f635372e1c5a9171
  • 7e7455cbdca4a9af0e9c4fba21b8feed7967658bb72624747737ea23673ec37d
  • 8d73ee0b2713fa728a154c12ba71b13197484a4db7c0a2c6cd9f3076f1823624
  • 8e8d8d328bd0db29e0c268e4ff20e9c63778de0c336799f621bec2624aeffbac
  • 99ff9b7f046fd90d5a092909e94be0f7df3f86455b5c26b7340417bcd057ca84
  • 9d33b5c8830d3fa500b9a95ee44f21ac883de60852064330d7cfdc8c3a9ab662
  • 9d9520b6c35be9bcfbf956169cca23bad3d10825607583c6b00b3a3e33da2778
  • a294c2ce54acd1b0240511117de9cbe3000f900c3abb15f0de8a8bea07ac6f8c
  • a48a6d239c7b45e041f6885d87cd400b0467c7d114769e6d85a8334fa865e0f9
  • a536d755313ce550a510137211eca6171f636fb316026e9df8523c496c8fcd12
  • a891616ec4cc442f7a9c84695a67824e5b23dfaf3d82590b9a94701a0b7ee544
  • ac6493c923daa5e69bc08d3394c9ecb69a1bee2624b214dcf8f8a1d3be1431fc
  • ad737eb2bdc81545850a4a8b786f7e63a5f7519f9610f06cef61f0e11c4bcbda
  • ae4991476ed082920e674457f4eceb71367265f4d2150b89214abceb9ebf2407
  • b67221d6057a2a08bd19cdebf22e6d5557a8794463413e6fc128c7ec15a41415
  • b68904f25db022a3bc3dfc7a1dfdfcdd16e1a7f63a256d1be9a29570fc4ce65c
  • b8c7ff2865d5933712eb014d45d81a7e6d9d266cd8ec613da4bce39b6c8f3a43
  • baf69546d18ccb57b64dc29c0d35ae34c1153fe92eaa9764b5f679a99a97ed23
  • c3e806dbf5f01d8d04918c1e734ccce59b6b6057f13dfd77e2c6745442c3c7c1
  • c79fcb6c433d8a613f25b9b4c81c1c2514ac97e9aaae7c7c84a432b2476b5e4e
  • d8931e1118c147af8dd4d9da4ecbf025b8ad805d8287f82be75c6ea5b7aff9d9
  • e38362aca79b16d588174e64a33cc688504c845d882624243fde90abd578bd7d
  • f178e52706992658017fe5fcedb6fc29b564874c30176ad68ee9669d208fd481
Комментарии: 0
Похожие записи
0
29.12.2025
Индикаторы компрометации

Новый вредонос EtherRAT атакует через уязвимость в React2Shell, используя блокчейн Ethereum для управления

information security
Центр анализа угроз AhnLab (ASEC) выявил активную кампанию по распространению сложного вредоносного программного обеспечения, получившего название EtherRAT. Атака эксплуатирует недавно раскрытую критическую
0
03.02.2026
Индикаторы компрометации

SkyCloak: новая угроза от Vortex Werewolf атакует госсектор через фишинговые ловушки в Telegram

APT
Специалисты BI.ZONE Threat Intelligence обнаружили активность нового вредоносного кластера, получившего обозначение Vortex Werewolf (также известного как SkyCloak).
0
18.12.2025
Индикаторы компрометации

Новый высокоуровневый имплант EtherRAT атакует уязвимые веб-приложения через React2Shell

remote access Trojan
Исследователи обнаружили сложную вредоносную программу, использующую блокчейн Ethereum для управления, что указывает на возможную причастность северокорейских хакеров.