Специалисты по кибербезопасности бьют тревогу: новая волна атак использует недавно обнаруженную уязвимость в Langflow для заражения серверов ботнетом Flodrix.
Flodrix
«Злоумышленники используют эту уязвимость, чтобы запускать на скомпрометированных серверах Langflow скрипты-загрузчики, которые загружают и активируют вредоносный ботнет Flodrix», — сообщают исследователи из Trend Micro Алиакбар Захрави, Ахмед Мохамед Ибрагим, Суниль Бхарти и Шубхам Сингх в своём свежем техническом отчёте.
Атака эксплуатирует CVE-2025-3248 (CVSS 9.8) — критическую уязвимость в системе аутентификации Langflow, визуальной платформы на Python для создания AI-приложений.
CVE-2025-3248
При удачной атаке злоумышленники получают возможность выполнять любой код через специально подготовленные HTTP-запросы. Разработчики закрыли эту брешь в версии 1.3.0, выпущенной в марте 2025 года.
В прошлом месяце Агентство США по безопасности киберинфраструктуры (CISA) и Институт технологий SANS зафиксировали реальные попытки использования этой уязвимости, в том числе на honeypot-серверах.
Свежие данные от Trend Micro показывают, что хакеры целятся в необновлённые, открытые в интернете инстансы Langflow, используя общедоступный PoC-код для поиска уязвимых целей и установки скрипта-загрузчика. Этот скрипт загружает и запускает вредоносный ботнет Flodrix с IP-адреса "80.66.75.121:25565".
После установки Flodrix устанавливает связь с удалённым сервером через протокол TCP и получает команды для запуска масштабных распределённых DDoS-атак по указанным IP-адресам. Кроме того, ботнет может работать через анонимную сеть TOR.
«Langflow не проверяет входящие данные и не изолирует выполнение команд, поэтому вредоносный код запускается прямо в контексте сервера, что даёт злоумышленникам полный контроль», — объясняют эксперты. «Судя по активности, хакеры тщательно изучают все уязвимые серверы, чтобы выбрать наиболее ценные цели для дальнейших заражений».
Trend Micro также обнаружила, что неизвестные атакующие размещают на одном хосте разные скрипты-загрузчики, что говорит о продолжающемся развитии и расширении кампании.
Flodrix – усовершенствованная версия ботнета LeetHozer, связанного с группировкой Moobot. Новая версия умеет незаметно удаляться с заражённого устройства, сокращать следы своей деятельности и усложнять расследование, шифруя адреса управляющих серверов и другие важные индикаторы.
«Главное нововведение — новые виды DDoS-атак с использованием шифрования, делающие их обнаружение ещё сложнее», — добавляют исследователи. «Кроме того, ботнет сканирует каталоги /proc, изучая все активные процессы на устройстве».
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru