Критическая уязвимость уже в арсенале известных групп, вопрос в том, сколько проектов заметит это слишком поздно.
Две хакерские группировки, связанные с Китаем, начали использовать критическую уязвимость в React Server Components буквально через несколько часов после того, как о ней стало известно публично. Речь идет о баге Для просмотра ссылки Войдиили Зарегистрируйся с максимальным баллом 10, который в сообществе уже прозвали React2Shell и который позволяет удаленно выполнять произвольный код без какой-либо аутентификации на уязвимом сервере. Проблема уже исправлена в React версий 19.0.1, 19.1.2 и 19.2.1, однако не обновленные проекты остаются легкой добычей для атакующих.
По Для просмотра ссылки Войдиили Зарегистрируйся Amazon Web Services, попытки эксплуатации React2Shell были замечены в инфраструктуре ловушек AWS MadPot. Логи показали активность хакеров с IP-адресов и серверов, которые раньше уже связывали с государственными группами из Китая. В числе задействованных акторов аналитики выделяют две кампании, получившие названия Earth Lamia и Jackpot Panda.
Earth Lamia описывается как группа с китайской привязкой, которую ранее обвиняли в эксплуатации критической уязвимости в Для просмотра ссылки Войдиили Зарегистрируйся (Для просмотра ссылки Войди или Зарегистрируйся). Ее интересы не ограничиваются одной отраслью: под прицел попадали финансовые организации, логистические компании, розничный бизнес, IT-сектор, университеты и государственные структуры в Латинской Америке, на Ближнем Востоке и в странах Юго-Восточной Азии.
Вторая группа, Jackpot Panda, традиционно охотится за компаниями, которые работают с онлайн-гемблингом или обслуживают этот рынок в Восточной и Юго-Восточной Азии. По данным CrowdStrike, она активна как минимум с 2020 года и любит заходить в сети жертв через доверенные третьи стороны, используя компрометированные партнерские цепочки для установки вредоносных имплантов и получения первоначального доступа.
Именно Jackpot Panda связывают с компрометацией цепочки поставок чата Comm100 в сентябре 2022 года, операцию эту ESET отслеживает под названием ChattyGoblin. Позже появились данные, что к атаке мог быть причастен Для просмотра ссылки Войдиили Зарегистрируйся I-Soon, на что указывают пересечения в используемой инфраструктуре. При этом в 2023 году многие атаки были переориентированы на китайскоязычных пользователей, что может говорить о задачах внутреннего слежения.
Исследователи также отмечают, что в одной из кампаний злоумышленники использовали троянизированный установщик CloudChat, популярного в подпольных китайскоязычных гемблинг-сообществах мессенджера. С сайта приложения распространялся инсталлятор, который запускал многошаговую цепочку установки нового импланта XShade, связанного по коду с фирменным вредоносом CplRAT, используемым Jackpot Panda.
Amazon сообщает, что вместе с React2Shell те же актеры параллельно эксплуатируют и другие уже известные уязвимости, в частности баг в камерах NUUO (Для просмотра ссылки Войдиили Зарегистрируйся, CVSS 7.3). Это говорит о том, что операторы не ограничиваются одной дырой, а массово сканируют интернет в поисках любых не обновленных систем, комбинируя несколько CVE в одной волне атак.
В зафиксированных попытках эксплуатации хакеры пробуют выполнять базовые команды разведки окружения вроде whoami, создавать файлы наподобие "/tmp/pwned.txt" и читать системные файлы с потенциально чувствительными данными, например "/etc/passwd". Такие действия позволяют проверить, успешно ли сработал эксплойт, а затем уже решать, стоит ли развивать атаку дальше.
Две хакерские группировки, связанные с Китаем, начали использовать критическую уязвимость в React Server Components буквально через несколько часов после того, как о ней стало известно публично. Речь идет о баге Для просмотра ссылки Войди
По Для просмотра ссылки Войди
Earth Lamia описывается как группа с китайской привязкой, которую ранее обвиняли в эксплуатации критической уязвимости в Для просмотра ссылки Войди
Вторая группа, Jackpot Panda, традиционно охотится за компаниями, которые работают с онлайн-гемблингом или обслуживают этот рынок в Восточной и Юго-Восточной Азии. По данным CrowdStrike, она активна как минимум с 2020 года и любит заходить в сети жертв через доверенные третьи стороны, используя компрометированные партнерские цепочки для установки вредоносных имплантов и получения первоначального доступа.
Именно Jackpot Panda связывают с компрометацией цепочки поставок чата Comm100 в сентябре 2022 года, операцию эту ESET отслеживает под названием ChattyGoblin. Позже появились данные, что к атаке мог быть причастен Для просмотра ссылки Войди
Исследователи также отмечают, что в одной из кампаний злоумышленники использовали троянизированный установщик CloudChat, популярного в подпольных китайскоязычных гемблинг-сообществах мессенджера. С сайта приложения распространялся инсталлятор, который запускал многошаговую цепочку установки нового импланта XShade, связанного по коду с фирменным вредоносом CplRAT, используемым Jackpot Panda.
Amazon сообщает, что вместе с React2Shell те же актеры параллельно эксплуатируют и другие уже известные уязвимости, в частности баг в камерах NUUO (Для просмотра ссылки Войди
В зафиксированных попытках эксплуатации хакеры пробуют выполнять базовые команды разведки окружения вроде whoami, создавать файлы наподобие "/tmp/pwned.txt" и читать системные файлы с потенциально чувствительными данными, например "/etc/passwd". Такие действия позволяют проверить, успешно ли сработал эксплойт, а затем уже решать, стоит ли развивать атаку дальше.