В продолжение темы React2Shell (CVE-2025-55182), коллеги из BIZONE выложили вчера отчёт об эксплуатации уязвимости в атаках, направленных на российские компании из сфер страхования, электронной коммерции и IT. В основном постэксплуатация сводится к майнингу.
Случай 1. Эксплуатация уязвимости и последовательная инсталляция:
🔹 ботнета RustoBot с DDoS-функциями и майнером XMRig
🔹 ботнета Kaiji Ares
🔹 импланта Sliver
Случай 2. После эксплуатации уязвимости в контейнере скомпрометированного хоста устанавливали майнер XMRig и скрипты для повышения эффективности его работы.
Случай 3. Аналогичен случаю 2, но без доп. скриптов.
Также пишут об атаках с эксплуатацией React2Shell, направленных на другие страны, с использованием импланта CrossC2 для Cobalt Strike, средства удалённого администрирования Tactical RMM, загрузчика и бэкдора VShell, а также трояна удалённого доступа EtherRAT.
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.