黑客针对 React2Shell 漏洞发起810万次攻击会话
- 浏览次数 1330
- 喜欢 0
HackerNews 编译,转载请注明出处:
React2Shell漏洞(CVE-2025-55182)持续面临无情的利用活动,自其首次披露以来,威胁行为者已发起超过810万次攻击会话。
根据GreyNoise Observation Grid的数据,自12月底达到超过43万次的峰值后,每日攻击量已稳定在30万至40万次会话,表明存在持续、协调的利用活动。
自该活动开始以来,已观察到超过810万次会话。
利用活动规模
该活动的基础设施足迹揭示了一场复杂的分布式操作。研究人员已识别出101个国家、1,071个自治系统(ASN)内的8,163个独立源IP地址。
这种地理分布凸显了该漏洞对不同威胁行为者生态系统的吸引力,从利用性僵尸网络到高级持续性威胁组织。AWS和其他主要云提供商主导了攻击基础设施。
仅亚马逊网络服务就占了观测到的利用流量的三分之一以上,前15个ASN约占所有源IP的60%。
这反映了攻击者倾向于利用合法的云基础设施来掩盖恶意活动。攻击者已创建超过7万个独特的攻击载荷,展示了持续的试验和改进。
网络指纹分析揭示了700个不同的JA4H哈希(HTTP客户端指纹)和340个独特的JA4T哈希(TCP堆栈指纹),表明了多样化的工具集和投递机制。
载荷多样性与攻击模式
利用活动遵循可预测的两阶段方法。初始侦察探测通过简单的PowerShell算术运算验证命令执行,然后再继续投递编码的攻击载荷。
第二阶段的利用采用AMSI绕过技术,使攻击者能够执行额外的恶意脚本,同时规避防病毒检测。
如果未打补丁,组织仍面临暴露风险。近50%的观测源IP是在2025年7月之后首次被观测到的,这表明了最近的基础设施分配和快速的IP轮换。
静态IP黑名单不足以应对此次活动的规模和速度。防御者应通过格雷噪声持续更新的威胁情报源实施动态拦截。
终端监控应侧重于检测PowerShell执行模式、编码命令以及通过反射进行的AMSI修改。
管理暴露的React服务器组件的组织应将其视为一个活跃的、持续的威胁,需要立即打补丁并实施网络级防护。
消息来源:cybersecuritynews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文