Кибератаки с использованием React2Shell становятся серьезной угрозой: новый тренд в распространении криптовалютных майнеров и опасных вирусов
Дата: 11.12.2025Просмотров: 1293
Кибератаки с использованием React2Shell становятся серьезной угрозой: новый тренд в распространении криптовалютных майнеров и опасных вирусов
Исследователи компании Huntress выявили опасную тенденцию, связанную с массированной эксплуатацией недавно обнаруженной уязвимости в компонентах React Server Components (RSC), известной как React2Shell. Она получила индекс опасности CVE-2025-55182 и классифицируется как серьезная угроза безопасности. Угроза распространяется через внедрение специального программного обеспечения, позволяющего несанкционированно внедрять вирусные программы и осуществлять добычу криптовалюты.
Эта новая атака вызывает особую тревогу, поскольку затронула сразу несколько отраслей экономики, особенно строительные и развлекательные компании. Инцидент стал поводом обратить внимание широкой общественности на важность регулярного обновления систем безопасности и своевременного реагирования на угрозы.
♻ Основные выводы исследований Huntress Labs:
⁃ Злоумышленники эксплуатируют уязвимость: Используемые методы позволяют взломщикам проникнуть в систему без прохождения процедуры аутентификации, установить собственные полезные нагрузки и начать эксплуатацию инфраструктуры жертвы.
⁃ Расширяется диапазон угроз: Помимо стандартного криптовалюта-майнинга (например, использование популярного инструмента XMRig), было обнаружено распространение новых типов вредоносных программ, таких как:
⁃ PeerBlight — специализированный бэкдор для Linux, скрывающийся под видом легитимного процесса и использующий алгоритмы генерации доменных имен (DGA) для подключения к своим управляющим серверам.
⁃ CowTunnel — программа-туннелирование, создающая обратные соединения для эффективного обхода ограничений фаерволлов.
⁃ ZinFoq — модуль, предназначенный для последующей эксплуатации инфицированных машин, обладающий широким спектром возможностей: от простого сбора конфиденциальных данных до глубокого вмешательства в работу операционной системы.
Также была отмечена серия успешных попыток проникновения на устройства под управлением Windows, где использовалась та же схема действий: получение удалённого доступа посредством Shell-команд, дальнейшее разворачивание майнингового ПО и дополнительного вредоносного инструментария.
Как работают атаки?
♻ Атаки осуществляются следующим образом:
1. Используя выявленную уязвимость, злоумышленники внедряют первоначальный шелл-код (script) на целевой компьютер.
2. Затем выполняется первичное тестирование среды и оценка её пригодности для дальнейших шагов.
3. Далее устанавливаются дополнительные модули, среди которых основной задачей становится добыча криптовалюты.
4. Дополнительно проводится установка вредоносных инструментов, расширяющих возможности преступников по дальнейшему контролю над системой.
Особое внимание привлекает тот факт, что вредоносные программы, вроде PeerBlight, используют нестандартные способы коммуникации, например, задействуют протокол DHT сетей типа BitTorrent для взаимодействия с управляющими серверами.
♻ Что такое PeerBlight?
PeerBlight является опасным компонентом, используемым хакерами для поддержания устойчивого контакта с заражёнными системами. Среди ключевых функций этого модуля:
⁃ Создание службы systemd для обеспечения длительного пребывания в системе.
⁃ Скрытие своего процесса под видом законного приложения («ksoftirqd»), снижая вероятность обнаружения антивирусными решениями.
⁃ Использование статического IP-адреса для подключения к управляющим серверам.
⁃ Возможность выполнять разнообразные операции: удаление файлов, создание процессов, скачивание вредоносных пакетов и многое другое.
Кроме того, PeerBlight применяет уникальные механизмы самозащиты, включающие распределение обязанностей между различными компонентами и обмен информацией между заражёнными машинами через децентрализованные структуры, что существенно усложняет выявление и устранение угрозы.
♻ Заключение
Угрозы, исходящие от React2Shell, представляют серьёзную опасность для предприятий и организаций всех уровней. Важно своевременно реагировать на предупреждения исследователей, проводить регулярное обновление используемых решений и регулярно проверять наличие уязвимостей в своих системах. Для компаний крайне важно укреплять защиту и обеспечивать надёжную киберзащиту, предотвращающую попадание подобной вредоносной активности внутрь корпоративных инфраструктур.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь!
Xiaomi Tag: новый трекер с поддержкой UWB и Google Find My Device
Xiaomi Tag: новый трекер с поддержкой UWB и Google Find My Device
Xiaomi готовится к выходу на рынок устройств для поиска потерянных предметов с выпуском своего первого трекера под названием Xiaomi Tag. Согласно информации, полученной из социальных сетей, в частности Weibo, Xiaomi Tag находится на финальной стадии разработки и может быть представлен 26 декабря 2025 года на мероприятии, посвящённом анонсам новых продуктов компании.
Упрощение смены устройств: Google и Apple готовят переход между Android и iOS без головной боли
Упрощение смены устройств: Google и Apple готовят переход между Android и iOS без головной боли
Многие пользователи сталкиваются с трудностями при переходе с одного смартфона на другой, особенно если речь идет о смене экосистем — с Android на iOS или обратно. Наконец-то похоже, что это изменится: Google представил экспериментальную версию Android, намекнувшую на существенное облегчение процесса переноса данных между устройствами разных брендов.
Обнаружено новое поколение вредоносных программ для Android: угрозы FvncBot, SeedSnatcher и усовершенствованный ClayRat
Обнаружено новое поколение вредоносных программ для Android: угрозы FvncBot, SeedSnatcher и усовершенствованный ClayRat
Эксперты в области кибербезопасности раскрыли подробности о двух новых семействах вредоносных программ для Android, получивших имена FvncBot и SeedSnatcher, а также сообщили о появлении модернизированного варианта трояна CayRalt. Информация поступила от исследовательских групп Intel 471, CYFIRMA и Zimperium соответственно.