SecurityLab,
26 января 2026 г.
React2Shell против ИТ-сектора: BI.ZONE обнаружила масштабную кампанию против российского бизнеса
148 просмотров
Специалисты BI.ZONE TDR обнаружили масштабную кампанию кибератак, направленную против российских компаний из сферы страхования, электронной коммерции и IT. Злоумышленники эксплуатируют критическую уязвимость CVE-2025-55182, получившую название React2Shell, которая затрагивает популярный фреймворк React.
Проблема кроется в протоколе Flight, который обеспечивает связь между клиентом и сервером в React Server Components. Уязвимость возникает из-за небезопасной десериализации данных — сервер принимает информацию от клиента без должной проверки, что при определённых условиях позволяет злоумышленнику выполнить произвольный код на сервере.
В атаках на российские компании хакеры чаще всего распространяли майнер криптовалюты XMRig, а иногда использовали ботнеты Kaiji и Rustobot или имплант Sliver. В одном из случаев после компрометации системы через React2Shell злоумышленники загрузили вредоносную программу RustoBot — ботнет, написанный на языке Rust, который способен проводить DDoS-атаки методами UDP flood, TCP flood и Raw IP flood. Интересно, что внутри RustoBot также встроен майнер XMRig.
В другом эпизоде атакующие использовали комбинацию из нескольких вредоносных скриптов. Сначала они загружали скрипт для установки майнера XMRig, который сохранялся в системные директории и закреплялся через службу systemd и задачу Cron. Затем на скомпрометированный хост попадал ботнет Kaiji, способный не только проводить DDoS-атаки, но и выполнять произвольные команды, а также подменять системные утилиты вроде ls, ps и netstat модифицированными версиями. Завершался набор инструментов имплантом Sliver для удалённого управления заражённой системой.
Исследователи также зафиксировали случаи, когда хакеры использовали технику DNS-туннелирования для скрытой передачи результатов выполнения команд. Они отправляли запросы nslookup с встроенными командами на специально подготовленные домены в зоне oastify.com, получая таким образом информацию о скомпрометированной системе.
Активность по распространению Kaiji и Sliver с использованием React2Shell ранее описывала компания Huntress.
За пределами России атаки оказались ещё разнообразнее. BI.ZONE Threat Intelligence исследовала кампании, которые не были нацелены на российские компании, но аналогичным образом эксплуатировали уязвимость React2Shell для распространения более широкого спектра вредоносного ПО. Злоумышленники распространяли имплант CrossC2 для Cobalt Strike, инструмент удалённого администрирования Tactical RMM, загрузчики и бэкдор VShell, а также троян удалённого доступа EtherRAT. Последний особенно примечателен — это JavaScript-зловред, который получает адрес своего командного сервера из смарт-контракта Ethereum, что делает инфраструктуру атакующих более устойчивой к блокировкам.
EtherRAT, который ранее анализировала команда Sysdig Threat Research Team, обладает впечатляющим набором методов закрепления в системе — от службы systemd до автозапуска через XDG, crontab, файлы .bashrc и .profile. После закрепления вредонос загружает с командного сервера фрагменты JavaScript-кода, включая стилер для кражи криптовалютных кошельков, токенов доступа, SSH-ключей и учётных данных баз данных, а также модуль для сканирования и заражения других уязвимых хостов.
Один из скриптов, распространявшихся в ходе атак, модифицировал конфигурацию веб-серверов nginx и Apache таким образом, чтобы весь HTTP и HTTPS трафик перенаправлялся на внешний домен злоумышленников. Скрипт создавал резервные копии оригинальных конфигураций, а затем полностью заменял их на вредоносные настройки с редиректом.
Специалисты BI.ZONE подчёркивают, что злоумышленники могут начать эксплуатировать критические уязвимости буквально в течение нескольких часов после их публикации, хотя многие из таких проблем так и не используются в реальных атаках. Важно не только устранить уязвимость, но и проверить системы на признаки успешной компрометации и постэксплуатационной активности.
Уязвимость CVE-2025-55182 затрагивает пакеты react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack версий 19.0, 19.1.0, 19.1.1 и 19.2.0. Патчи выпущены в версиях 19.0.1, 19.1.2 и 19.2.1. Разработчикам настоятельно рекомендуется немедленно обновить все зависимости до исправленных версий и проверить файлы блокировки пакетов, чтобы убедиться в полном удалении уязвимых версий. Подробную информацию об уязвимости и применённых исправлениях можно найти в официальном анонсе React. Проекты на Next.js, использующие React Server Components, также могут быть подвержены этой проблеме и требуют проверки.
Вся пресса за 26 января 2026 г.
Смотрите другие материалы по этой тематике: Киберугрозы, киберриски и киберстрахование
Установите трансляцию заголовков прессы на своем сайте
|
|
 |
Архив прессы
|
|
|
 |
Текущая пресса
 |
| |
17 июля 2026 г.

|
|
Finversia.ru, 17 июля 2026 г.
Прибыль Travelers выросла на 44% благодаря снижению страховых выплат

|
|
Деловой Петербург (on-line), 17 июля 2026 г.
Компании Петербурга наращивают кадровый резерв перед второй половиной года

|
|
Минск-новости, 17 июля 2026 г.
Представитель «Белнефтестраха»: 43% населения Беларуси оформили договоры страхования

|
|
UfaTime.ru, 17 июля 2026 г.
Жителям Башкирии рассказали, как получить цифровой полис ОМС

|
|
Гарант.ру, 17 июля 2026 г.
Банк России представил обновленный ренкинг страховщиков по количеству жалоб на ОСАГО

|
|
AK&M, 17 июля 2026 г.
KKR присоединилась к сделке по приобретению Steadfast за $5.3 млрд

|
|
Комсомольская правда-Новосибирск, 17 июля 2026 г.
Новосибирские аграрии получили 860 млн рублей страховых выплат

|
|
РАПСИ (Российское агентство правовой и судебной информации), 17 июля 2026 г.
Страховая не может игнорировать сроки исковой давности — суд

|
|
Коммерческие вести, Омск, 17 июля 2026 г.
Омская область стала лидером среди сибирских регионов по площади застрахованных полей

|
|
Российская газета, 17 июля 2026 г.
Минсельхоз предлагает оптимизировать поддержку аграриев

|
|
Казинформ, Астана, 17 июля 2026 г.
Объем поддержки несырьевого экспорта превысил 418 миллиардов тенге — ЭКА

|
|
gorod48.ru, Липецк, 17 июля 2026 г.
За гибель косули 40 000 рублей заплатит страховая компания

|
|
vietnam.vn, 17 июля 2026 г.
Власти Хошимина предлагают бесплатное медицинское страхование для людей в возрасте от 60 до 65 лет

|
|
Байкал24, Иркутск, 17 июля 2026 г.
Домклик запускает страхование частных домов

|
|
vietnam.vn, 17 июля 2026 г.
Жители района Трунг Там полны решимости повысить уровень охвата медицинским страхованием до 96,7% к 2026 году

|
|
Прецедент ТВ, Новосибирск, 17 июля 2026 г.
Страховщики выплатили новосибирским фермерам 860 млн рублей за гибель скота

|
|
vietnam.vn, 17 июля 2026 г.
На реализацию программ добровольного медицинского и социального страхования выделено почти 265 миллиардов донгов

|
 Остальные материалы за 17 июля 2026 г. |
 Самое главное
 Найти
: по изданию
, по теме
, за период
 Получать: на e-mail, на свой сайт
|
|
|
|
|
|