Η ευπάθεια React2Shell (CVE-2025-55182) συνεχίζει να αντιμετωπίζει μια αδυσώπητη εκστρατεία εκμετάλλευσης, με τους φορείς απειλών να ξεκινούν περισσότερες από 8,1 εκατομμύρια συνεδρίες επίθεσης από την αρχική της αποκάλυψη.
Σύμφωνα με τα δεδομένα του GreyNoise Observation Grid, οι ημερήσιοι όγκοι επιθέσεων έχουν σταθεροποιηθεί σε 300.000–400.000 συνεδρίες από τότε που κορυφώθηκαν πάνω από τις 430.000 στα τέλη Δεκεμβρίου, υποδηλώνοντας συνεχή, συντονισμένη εκμετάλλευση.
.webp.jpeg "Οι χάκερ ξεκίνησαν 8,1 εκατομμύρια συνεδρίες επιθέσεων για ευπάθεια React2Shell")
Κλίμακα της Εκστρατείας Εκμετάλλευσης
Το αποτύπωμα υποδομής της εκστρατείας αποκαλύπτει μια εξελιγμένη, κατανεμημένη λειτουργία. Οι ερευνητές έχουν εντοπίσει 8.163 μοναδικές διευθύνσεις IP προέλευσης που εκτείνονται σε 1.071 αυτόνομα συστήματα (ASN) σε 101 χώρες.
Αυτή η γεωγραφική διασπορά υπογραμμίζει την ελκυστικότητα της ευπάθειας σε διάφορα οικοσυστήματα φορέων απειλών, από εκμεταλλευτικά botnets έως προηγμένες ομάδες επίμονων απειλών. Το AWS και άλλοι μεγάλοι πάροχοι cloud κυριαρχούν στην υποδομή επίθεσης.
Οι Υπηρεσίες Ιστού της Amazon από μόνες τους αντιπροσωπεύουν πάνω από το ένα τρίτο της παρατηρούμενης κίνησης εκμετάλλευσης, με τα κορυφαία 15 ASN να αποτελούν περίπου το 60% όλων των IP προέλευσης.
Αυτό αντανακλά την προτίμηση των επιτιθέμενων να αξιοποιούν νόμιμη υποδομή cloud για να κρύψουν την κακόβουλη δραστηριότητα. Οι επιτιθέμενοι έχουν δημιουργήσει πάνω από 70.000 μοναδικά ωφέλιμα φορτία, επιδεικνύοντας συνεχή πειραματισμό και τελειοποίηση.
.webp.jpeg "Οι χάκερ ξεκίνησαν 8,1 εκατομμύρια συνεδρίες επιθέσεων για ευπάθεια React2Shell")
Η ανάλυση δακτυλικών αποτυπωμάτων δικτύου αποκαλύπτει 700 διακριτούς κατακερματισμούς JA4H (δακτυλικά αποτυπώματα πελάτη HTTP) και 340 μοναδικούς κατακερματισμούς JA4T (δαχτυλικά αποτυπώματα στοίβας TCP), υποδεικνύοντας ποικίλους μηχανισμούς εργαλείων και παράδοσης.
Διαφορετικότητα ωφέλιμου φορτίου και μοτίβα επίθεσης
Η εκμετάλλευση ακολουθεί μια προβλέψιμη προσέγγιση δύο σταδίων. Οι αρχικοί ανιχνευτές αναγνώρισης επικυρώνουν την εκτέλεση εντολών μέσω απλών αριθμητικών πράξεων PowerShell πριν προχωρήσετε στην παράδοση ένα κωδικοποιημένο ωφέλιμο φορτίο.
Οι εκμεταλλεύσεις του δεύτερου σταδίου χρησιμοποιούν τεχνικές παράκαμψης AMSI, επιτρέποντας στους εισβολείς να εκτελέσουν επιπλέον κακόβουλα σενάρια αποφεύγοντας τον εντοπισμό ιών.
Οι οργανισμοί παραμένουν εκτεθειμένοι εάν δεν επιδιορθωθούν. Σχεδόν το 50% των παρατηρούμενων IP προέλευσης παρατηρήθηκαν για πρώτη φορά μετά τον Ιούλιο του 2025, υποδεικνύοντας πρόσφατη κατανομή υποδομής και ταχεία εναλλαγή IP.
Οι στατικές λίστες αποκλεισμού IP δεν επαρκούν για την αντιμετώπιση της κλίμακας και της ταχύτητας αυτής της καμπάνιας. Οι αμυντικοί θα πρέπει να εφαρμόσουν δυναμικό μπλοκάρισμα GreyNoise’s συνεχώς ενημερωμένες ροές πληροφοριών απειλών.
Η παρακολούθηση τελικού σημείου θα πρέπει να επικεντρώνεται στην ανίχνευση μοτίβων εκτέλεσης του PowerShell, κωδικοποιημένων εντολών και τροποποιήσεων AMSI μέσω ανάκλασης.
Οι οργανισμοί που διαχειρίζονται εκτεθειμένα στοιχεία διακομιστή React θα πρέπει να το αντιμετωπίζουν ως ενεργή, συνεχή απειλή που απαιτεί άμεση ενημέρωση κώδικα και προστασία σε επίπεδο δικτύου.
![Περισσότερα τηλέφωνα θα πρέπει να είναι έτσι. [Video]](https://techreport.gr/wp-content/uploads/2026/01/1767895500_more-phones-should-be-like-this-150x150.jpg)
