Архив метки: XMRig

Добавлю про атаки с эксплуатацией React2Shell (CVE-2025-55182) на основе западных источников

Добавлю про атаки с эксплуатацией React2Shell (CVE-2025-55182) на основе западных источников.

🔹 15 декабря Microsoft сообщили об обнаружении нескольких сотен скомпрометированных хостов в самых разных организациях. Упоминают подключения к серверам Cobalt Strike, использование bind mounts, RMM MeshAgent, RAT VShell и EtherRAT, загрузчиков ВПО SNOWLIGHT и ShadowPAD, криптомайнера XMRig, средств извлечения секретов TruffleHog и Gitleaks.

🔹 16 декабря исследователи S-RM сообщили об атаке с эксплуатацией React2Shell для доступа к корпоративной сети и развёртывании шифровальщика Weaxor.

🔹 17 декабря CyberScoop со ссылкой на Palo Alto сообщили о более 60 скомпрометированных организаций. Помимо утилит из поста Microsoft, Palo Alto упоминают использование бэкдоров KSwapDoor и Auto-color, а также Noodle RAT.

В продолжение темы React2Shell (CVE-2025-55182), коллеги из BIZONE выложили вчера отчёт об эксплуатации уязвимости в атаках, направленных на российские компании из сфер страхования, электронной коммерции и IT

Добавить комментарий

В продолжение темы React2Shell (CVE-2025-55182), коллеги из BIZONE выложили вчера отчёт об эксплуатации уязвимости в атаках, направленных на российские компании из сфер страхования, электронной коммерции и IT. В основном постэксплуатация сводится к майнингу.

Случай 1. Эксплуатация уязвимости и последовательная инсталляция:

🔹 ботнета RustoBot с DDoS-функциями и майнером XMRig
🔹 ботнета Kaiji Ares
🔹 импланта Sliver

Случай 2. После эксплуатации уязвимости в контейнере скомпрометированного хоста устанавливали майнер XMRig и скрипты для повышения эффективности его работы.

Случай 3. Аналогичен случаю 2, но без доп. скриптов.

Также пишут об атаках с эксплуатацией React2Shell, направленных на другие страны, с использованием импланта CrossC2 для Cobalt Strike, средства удалённого администрирования Tactical RMM, загрузчика и бэкдора VShell, а также трояна удалённого доступа EtherRAT.

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют AuthBypass - TeamCity (CVE-2024-27198, CVE-2024-27199)

1 комментарий

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют AuthBypass - TeamCity (CVE-2024-27198, CVE-2024-27199). Напомню, что информация об уязвимости вышла на первой неделе марта вместе с подробным описанием от компании Rapid7. Благодаря этому описанию, скрипт для эксплуатации уязвимости появился на гитхабе всего через несколько часов. Скрипт очень простой и сводится к созданию аккаунта администратора одним запросом. Естественно после этого уязвимость начали активно эксплуатировать злоумышленники. 😈

Согласно Trend Micro, делают они это для:

🔻 Распространения программы-вымогателя Jasmin
🔻 Развертывания криптомайнера XMRig
🔻 Развертывания маяков Cobalt Strike
🔻 Развертывания бэкдора SparkRAT
🔻 Выполнения команд для закрепления в инфраструктуре (domain discovery and persistence)

Для каждой цели эксплуатации приводят описание как именно это происходит.

Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: XMRig

Добавлю про атаки с эксплуатацией React2Shell (CVE-2025-55182) на основе западных источников

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют AuthBypass - TeamCity (CVE-2024-27198, CVE-2024-27199)