12月初React開發工程團隊揭露重大漏洞React2Shell(CVE-2025-55182),隨即就有國家級駭客用於實際攻擊行動,也有殭屍網路用來綁架Next.js應用程式伺服器,從事挖礦與DDoS攻擊,現在有人結合網頁應用程式防火牆(WAF)的資安漏洞從事活動。
資安研究團隊Ctrl-Alt-Int3l指出,他們從資安公司Censys的威脅獵補情資當中,發現曝露滲透測試框架Sliver C2資料庫與事件記錄的駭客團體,研究團隊根據這些資料庫、事件記錄,以及對應的基礎設施,掌握駭客成功入侵網頁應用程式防火牆FortiWeb並部署Sliver,過程裡利用了React2Shell,再者,他們也透過Fast Reverse Proxy(FRP)曝露受害組織的本地服務。
Ctrl-Alt-Int3l總共看到30個IP位址被植入了Beacon,其中有許多受害組織集中於巴基斯坦與孟加拉,涉及金融產業與政府機關。此外,駭客也在與FortiWeb無關的中國主機植入Sliver。針對這起活動的發現,突顯了邊緣設備普遍缺乏EDR與防毒軟體的保護,而成為企業組織察覺資安威脅的盲點。
對於駭客取得初期入侵的管道,研究人員推測是針對已知弱點下手,對於能透過網際網路存取的主機部署Sliver,過程裡利用了React2Shell,同時也對FortiWeb設備進行滲透,不過由於無法復原概念驗證攻擊工具(PoC),Ctrl-Alt-Int3l無法確定駭客利用的漏洞,僅有提及受害的FortiWeb主機大多為過時設備。
特別的是,駭客部署的Sliver端點,還會同時設置誘餌網站來混淆研究人員,其中一個是Ubuntu套件網站,另一個為具有孟加拉招募空軍文宣的網頁,因此研究人員認為,孟加拉可能是攻擊者的主要目標。
一旦他們成功部署了Sliver,就會在受害主機植入FRP,目的是建置代理伺服器的基礎設施,而且,駭客也使用開源工具microsock。
熱門新聞
2026-01-10
2026-01-09
2026-01-09
2026-01-09
2026-01-09
2026-01-09