React2Shell 漏洞(CVE-2025-55182)持续遭受利用攻击,自首次泄露以来,威胁行为者已发起超过 810 万次攻击。根据 GreyNoise Observation Grid 数据,自 12 月底达到 43 万次以上的峰值以来,日攻击量已稳定在 30 万至 40 万次会话之间,表明存在持续且协调的利用活动。
该活动的基础设施布局展现出一种复杂且分布式的运营模式。研究人员已识别出 8,163 个独立源 IP 地址,覆盖 101 个国家的 1,071 个自治系统(ASN)。这种广泛的地理分布凸显了该漏洞在多样化威胁行为者生态系统中的吸引力,其利用者范围从僵尸网络到高级持续性威胁集团。
AWS 和其他主要云服务提供商主导着攻击基础设施。仅亚马逊网络服务就占观察到的攻击流量的三分之一以上,排名前 15 的 ASN 约占所有源 IP 的 60%,这反映出攻击者更倾向于利用合法的云基础设施来掩盖其恶意活动。
攻击者已创建了超过 7 万个独特有效载荷,展示了持续的实验和改进。网络指纹分析显示出 700 个不同的 JA4H 哈希(HTTP 客户端指纹)和 340 个独特的 JA4T 哈希(TCP 堆栈指纹),表明其工具和传输机制各异。
攻击遵循可预测的两阶段方法。初始侦察探针通过简单的 PowerShell 算术运算验证命令执行,随后传递编码的有效载荷。第二阶段利用 AMSI 绕过技术,使攻击者能够在规避杀毒软件检测的同时执行额外的恶意脚本。
近 50% 的观测源 IP 首次出现在 2025 年 7 月之后,表明存在近期的基础设施分配和快速的 IP 轮换策略。静态 IP 封锁列表已不足以应对该活动的规模和速度。
防御方应通过持续更新的威胁情报流实施动态屏蔽。端点监控应侧重于检测 PowerShell 执行模式、编码命令和 AMSI 修改。管理暴露的 React 服务器组件的组织应将其视为一个活跃且持续的威胁,需要立即打补丁并实施网络层级保护。
关注“鲸栖”小程序,掌握最新AI资讯
本文来自网络搜集,不代表鲸林向海立场,如有侵权,联系删除。转载请注明出处:http://www.itsolotime.com/archives/18008
