Недавние инциденты показали, что уязвимость CVE-2025-55182, связанная с фреймворком React и известная как React2Shell, активно эксплуатируется для проведения комплексных атак против российских компаний. Злоумышленники использовали пробой для удалённого выполнения команд, разведки, последующего развертывания майнера и других вредоносных модулей, а также для прочного закрепления в системах, в том числе в контейнерных окружениях.
Краткая суть инцидента
Атаки, использующие React2Shell, включали многокомпонентную цепочку: получение контроля над хостами в контейнерах, выполнение команд, часто закодированных в Base64, сбор разведданных и последующее развертывание вредоносного ПО — от криптомайнера до бэкдоров и ботнет-компонентов.
Ход атак и наблюдаемые действия злоумышленников
- Первичный вектор — эксплуатация уязвимости CVE-2025-55182 в целях удалённого выполнения команд.
- Разведка: выполнение Base64-закодированных команд для инвентаризации среды и выявления перспективных целей.
- Закрепление: загрузка и запуск инструментов управления и бэкдоров внутри контейнерных хостов.
- Монетизация: развёртывание криптомайнера XMRig и действия по уничтожению конкурирующих процессов (kill all, кроме майнера) с последующим подключением к назначенному пулу.
- Распространение: использование инфраструктуры и инструментов, распространяющихся не только в российском регионе, что указывает на более широкий масштаб эксплуатации.
Обнаруженные вредоносные инструменты и полезные нагрузки
- XMRig — криптомайнер, явно использовавшийся для получения дохода злоумышленниками. Отмечено целенаправленное завершение всех процессов, кроме самого майнера, и запуск с параметрами подключения к управляющему серверу.
- EtherRAT — RAT, ранее проанализированный специалистами, также обнаружен в цепочке атак и распространялся посредством эксплуатации React2Shell.
- VShell — исполняемый файл-загрузчик бэкдора, устанавливающий соединение с предопределённым сервером для отправки и получения данных, что повышает степень контроля злоумышленников над системами.
- Полезные программы, подобные Cobalt Strike, адаптированные для UNIX-систем и использующие фреймворк CrossC2. Эти бинарники были упакованы с помощью UPX, при этом конфигурация была встроена в сами исполняемые файлы.
- Инструмент удалённого администрирования Tactical RMM, загруженный злоумышленниками в ходе эксплуатации — доступ к нему осуществлялся по определённому URL, что указывает на задокументированный способ доставки вредоносного ПО.
- Отмечалось распространение различных virtual private operators (VPO), не ограничивающееся российским регионом, что свидетельствует о масштабности кампании.
Техники закрепления и маскировки
Злоумышленники применяли стандартные и более сложные методики:
- выполнение закодированных Base64-команд для скрытия содержания команд и избегания простого детектирования;
- упаковка исполняемых файлов через UPX, что затрудняет статический анализ;
- использование легитимных инструментов (например, Tactical RMM) для доставки и управления вредоносными модулями;
- установка загрузчиков (например, VShell), которые поддерживают двустороннюю связь с C2-серверами;
- удаление конкурирующих процессов перед запуском XMRig для максимизации использования ресурсов.
Масштаб и следствия
Расследования показывают, что эксплуатация CVE-2025-55182 не ограничивалась единичными инцидентами: атаки имели многокомпонентный характер и затрагивали инфраструктуру за пределами одного региона. Комбинация разведки, закрепления и монетизации указывает на организованный характер кампании с четко выстроенными этапами.
«Атаки через React2Shell демонстрируют, как уязвимость в веб-фреймворке может стать входом для целого набора вредоносных действий — от разведки до длительного закрепления и прямой финансовой выгоды злоумышленников», — отмечают исследователи.
Рекомендации по защите
- Немедленно устранить уязвимость: применить обновления и патчи для затронутых версий React и зависимостей.
- Провести форензик и аудит контейнерных хостов: проверить на наличие следов исполнения Base64-команд, подозрительных бинарников и сетевых соединений к неизвестным C2.
- Проверить наличие и целостность инструментов управления (Tactical RMM) и сервисов удалённого администрирования.
- Искать файлы, упакованные с помощью UPX, и бинарные образцы с встроенными конфигурациями (Cobalt Strike, VShell, EtherRAT и т.д.).
- Ограничить исходящие соединения и внедрить фильтрацию DNS/HTTP(S) для предотвращения связи с известными C2-серверами и майнинг-пулами.
- Мониторить процессы на предмет необычного потребления ресурсов и попыток завершения конкурирующих процессов — классического признака установки майнера.
Вывод
Наблюдаемая кампания показывает зрелый и многостадийный характер эксплуатации CVE-2025-55182. Атаки сочетали в себе сбор разведданных, использование легитимных средств для доставки вредоносного ПО, упакованные полезные нагрузки и инструменты для долговременного контроля. Организациям необходимо оперативно реагировать: патчить уязвимости, проводить детальное расследование инцидентов и усиливать мониторинг контейнерной инфраструктуры, чтобы предотвратить дальнейшее распространение и финансовые потери.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "CVE-2025-55182 (React2Shell): XMRig, EtherRAT и бэкдоры в контейнерах".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.