Исследователи компании Huntress выявили опасную тенденцию, связанную с массированной эксплуатацией недавно обнаруженной уязвимости в компонентах React Server Components (RSC), известной как React2Shell. Она получила индекс опасности CVE-2025-55182 и классифицируется как серьезная угроза безопасности. Угроза распространяется через внедрение специального программного обеспечения, позволяющего несанкционированно внедрять вирусные программы и осуществлять добычу криптовалюты.
Эта новая атака вызывает особую тревогу, поскольку затронула сразу несколько отраслей экономики, особенно строительные и развлекательные компании. Инцидент стал поводом обратить внимание широкой общественности на важность регулярного обновления систем безопасности и своевременного реагирования на угрозы.
♻ Основные выводы исследований Huntress Labs:
⁃ Злоумышленники эксплуатируют уязвимость: Используемые методы позволяют взломщикам проникнуть в систему без прохождения процедуры аутентификации, установить собственные полезные нагрузки и начать эксплуатацию инфраструктуры жертвы.
⁃ Расширяется диапазон угроз: Помимо стандартного криптовалюта-майнинга (например, использование популярного инструмента XMRig), было обнаружено распространение новых типов вредоносных программ, таких как:
⁃ PeerBlight — специализированный бэкдор для Linux, скрывающийся под видом легитимного процесса и использующий алгоритмы генерации доменных имен (DGA) для подключения к своим управляющим серверам.
⁃ CowTunnel — программа-туннелирование, создающая обратные соединения для эффективного обхода ограничений фаерволлов.
⁃ ZinFoq — модуль, предназначенный для последующей эксплуатации инфицированных машин, обладающий широким спектром возможностей: от простого сбора конфиденциальных данных до глубокого вмешательства в работу операционной системы.
Также была отмечена серия успешных попыток проникновения на устройства под управлением Windows, где использовалась та же схема действий: получение удалённого доступа посредством Shell-команд, дальнейшее разворачивание майнингового ПО и дополнительного вредоносного инструментария.
Как работают атаки?
♻ Атаки осуществляются следующим образом:
1. Используя выявленную уязвимость, злоумышленники внедряют первоначальный шелл-код (script) на целевой компьютер.
2. Затем выполняется первичное тестирование среды и оценка её пригодности для дальнейших шагов.
3. Далее устанавливаются дополнительные модули, среди которых основной задачей становится добыча криптовалюты.
4. Дополнительно проводится установка вредоносных инструментов, расширяющих возможности преступников по дальнейшему контролю над системой.
Особое внимание привлекает тот факт, что вредоносные программы, вроде PeerBlight, используют нестандартные способы коммуникации, например, задействуют протокол DHT сетей типа BitTorrent для взаимодействия с управляющими серверами.
♻ Что такое PeerBlight?
PeerBlight является опасным компонентом, используемым хакерами для поддержания устойчивого контакта с заражёнными системами. Среди ключевых функций этого модуля:
⁃ Создание службы systemd для обеспечения длительного пребывания в системе.
⁃ Скрытие своего процесса под видом законного приложения («ksoftirqd»), снижая вероятность обнаружения антивирусными решениями.
⁃ Использование статического IP-адреса для подключения к управляющим серверам.
⁃ Возможность выполнять разнообразные операции: удаление файлов, создание процессов, скачивание вредоносных пакетов и многое другое.
Кроме того, PeerBlight применяет уникальные механизмы самозащиты, включающие распределение обязанностей между различными компонентами и обмен информацией между заражёнными машинами через децентрализованные структуры, что существенно усложняет выявление и устранение угрозы.
♻ Заключение
Угрозы, исходящие от React2Shell, представляют серьёзную опасность для предприятий и организаций всех уровней. Важно своевременно реагировать на предупреждения исследователей, проводить регулярное обновление используемых решений и регулярно проверять наличие уязвимостей в своих системах. Для компаний крайне важно укреплять защиту и обеспечивать надёжную киберзащиту, предотвращающую попадание подобной вредоносной активности внутрь корпоративных инфраструктур.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
iFixit, известная своими подробными гайдами и разборками устройств, анонсировала запуск виртуального ассистента Fixbot, цель которого — облегчить самостоятельный ремонт электронных приборов пользователями. Новый помощник разработан специально для предоставления удобной навигации и рекомендаций при починке смартфонов, планшетов, компьютеров и другой современной техники.
Сегодня браузер стал основным интерфейсом взаимодействия сотрудников большинства компаний с технологиями генеративного искусственного интеллекта (GenAI). Это включает веб-приложения на основе больших языковых моделей (LLM), чат-помощников и расширения браузера, работающие на основе технологий GenAI, вроде ChatGPT Atlas. Сотрудники активно используют возможности GenAI для написания писем, подготовки документов, анализа данных и даже разработки программного кода. Часто этот процесс осуществляется путем копирования конфиденциальной информации прямо в поля запросов или загрузки файлов непосредственно в систему.
Компания FibreSeek из Гонконга произвела настоящий фурор в мире трёхмерной печати, представив уникальный настольный 3D-принтер FibreSeeker 3, способный изготавливать прочные детали из непрерывного углеродного волокна. Новый продукт успешно стартовал на площадке коллективного финансирования Kickstarter, собрав больше тысячи предзаказов и значительно превзойдя поставленные цели по финансированию.