React2Shell против ИТ-сектора: BI.ZONE обнаружила масштабную кампанию против российского бизнеса
NewsMakerХакеры превращают серверы российских страховщиков в фермы для майнинга.
Специалисты BI.ZONE TDR обнаружили масштабную кампанию кибератак, направленную против российских компаний из сферы страхования, электронной коммерции и IT. Злоумышленники эксплуатируют критическую уязвимость CVE-2025-55182, получившую название React2Shell, которая затрагивает популярный фреймворк React.
Проблема кроется в протоколе Flight, который обеспечивает связь между клиентом и сервером в React Server Components. Уязвимость возникает из-за небезопасной десериализации данных — сервер принимает информацию от клиента без должной проверки, что при определённых условиях позволяет злоумышленнику выполнить произвольный код на сервере.
В атаках на российские компании хакеры чаще всего распространяли майнер криптовалюты XMRig, а иногда использовали ботнеты Kaiji и Rustobot или имплант Sliver. В одном из случаев после компрометации системы через React2Shell злоумышленники загрузили вредоносную программу RustoBot — ботнет, написанный на языке Rust, который способен проводить DDoS-атаки методами UDP flood, TCP flood и Raw IP flood. Интересно, что внутри RustoBot также встроен майнер XMRig.
В другом эпизоде атакующие использовали комбинацию из нескольких вредоносных скриптов. Сначала они загружали скрипт для установки майнера XMRig, который сохранялся в системные директории и закреплялся через службу systemd и задачу Cron. Затем на скомпрометированный хост попадал ботнет Kaiji, способный не только проводить DDoS-атаки, но и выполнять произвольные команды, а также подменять системные утилиты вроде ls, ps и netstat модифицированными версиями. Завершался набор инструментов имплантом Sliver для удалённого управления заражённой системой.
Специалисты BI.ZONE TDR обнаружили масштабную кампанию кибератак, направленную против российских компаний из сферы страхования, электронной коммерции и IT. Злоумышленники эксплуатируют критическую уязвимость CVE-2025-55182, получившую название React2Shell, которая затрагивает популярный фреймворк React.
Проблема кроется в протоколе Flight, который обеспечивает связь между клиентом и сервером в React Server Components. Уязвимость возникает из-за небезопасной десериализации данных — сервер принимает информацию от клиента без должной проверки, что при определённых условиях позволяет злоумышленнику выполнить произвольный код на сервере.
В атаках на российские компании хакеры чаще всего распространяли майнер криптовалюты XMRig, а иногда использовали ботнеты Kaiji и Rustobot или имплант Sliver. В одном из случаев после компрометации системы через React2Shell злоумышленники загрузили вредоносную программу RustoBot — ботнет, написанный на языке Rust, который способен проводить DDoS-атаки методами UDP flood, TCP flood и Raw IP flood. Интересно, что внутри RustoBot также встроен майнер XMRig.
В другом эпизоде атакующие использовали комбинацию из нескольких вредоносных скриптов. Сначала они загружали скрипт для установки майнера XMRig, который сохранялся в системные директории и закреплялся через службу systemd и задачу Cron. Затем на скомпрометированный хост попадал ботнет Kaiji, способный не только проводить DDoS-атаки, но и выполнять произвольные команды, а также подменять системные утилиты вроде ls, ps и netstat модифицированными версиями. Завершался набор инструментов имплантом Sliver для удалённого управления заражённой системой.