Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Злонамерни NGINX конфигурации овозможуваат кампања за киднапирање на веб-сообраќај од големи размери

Објавено: 05.02.2026

Истражувачите за сајбер-безбедност објавија детали за активна кампања за киднапирање на веб-сообраќај која ги таргетирала NGINX инсталациите и управувачките панели како Baota (BT), со цел сообраќајот да се пренасочи преку инфраструктурата на напаѓачите.

Datadog Security Labs соопшти дека забележале заканувачки актери поврзани со неодамнешната експлоатација React2Shell (CVE-2025-55182, CVSS оценка: 10.0), кои користеле злонамерни NGINX конфигурации за да го изведат нападот.

„Злонамерната конфигурација го пресретнува легитимниот веб-сообраќај меѓу корисниците и веб-страниците и го насочува преку backend сервери под контрола на напаѓачите“, изјави истражувачот за безбедност Рајан Сајмон. „Кампањата таргетира азиски TLD-домени (.in, .id, .pe, .bd, .th), кинеска хостинг инфраструктура (Baota Panel), како и владини и образовни TLD-домени (.edu, .gov).“

Активноста вклучува употреба на shell-скрипти за вметнување злонамерни конфигурации во NGINX, кој е отворен-код reverse proxy и load balancer за управување со веб-сообраќај. Овие „location“ конфигурации се дизајнирани да ги пресретнат дојдовните барања на одредени однапред дефинирани URL-патеки и да ги пренасочат кон домени под контрола на напаѓачите преку директивата „proxy_pass“.

Скриптите се дел од повеќефазен алатен сет кој овозможува одржување на упорност (persistence) и креирање злонамерни конфигурациски датотеки што содржат злонамерни директиви за пренасочување на веб-сообраќајот. Компонентите на алатниот сет се наведени подолу:

  • zx.sh – дејствува како оркестратор за извршување на наредните фази преку легитимни алатки како curl или wget. Доколку овие две програми се блокирани, скриптата воспоставува сурова TCP конекција за испраќање HTTP барање.
  • bt.sh – го таргетира управувачкиот панел Baota (BT) со цел да ги препише NGINX конфигурациските датотеки.
  • 4zdh.sh – ги пребарува вообичаените локации на NGINX конфигурации и презема чекори за минимизирање на грешки при креирање на новата конфигурација.
  • zdh.sh – применува потесен пристап на таргетирање, фокусирајќи се главно на Linux или контејнеризирани NGINX конфигурации и на домени од највисоко ниво (TLD) како .in и .id.
  • ok.sh – е одговорна за генерирање извештај со детали за сите активни правила за киднапирање на NGINX сообраќај.

„Алатниот сет содржи механизми за откривање на цели и повеќе скрипти наменети за одржување на упорност и креирање злонамерни конфигурациски датотеки со директиви чија цел е пренасочување на веб-сообраќајот.“

Ова откритие доаѓа во време кога GreyNoise соопшти дека две IP-адреси – 193.142.147[.]209 и 87.121.84[.]24 – сочинуваат 56% од сите забележани обиди за експлоатација, два месеца по јавното обелоденување на React2Shell. Вкупно 1.083 уникатни изворни IP-адреси биле вклучени во експлоатацијата на React2Shell во периодот од 26 јануари до 2 февруари 2026 година.

„Доминантните извори користат различни post-exploitation payload-и: едниот презема криптомајнинг бинарни датотеки од staging сервери, додека другиот директно отвора reverse shell кон IP-адресата на скенерот“, соопшти компанијата за разузнавање за закани. „Овој пристап укажува на поголем интерес за интерактивен пристап, наместо за автоматизирана експлоатација на ресурси.“

Ова следи по откривањето на координирана извидувачка (reconnaissance) кампања насочена кон инфраструктурата на Citrix ADC Gateway и Netscaler Gateway, при што биле користени десетици илјади резиденцијални проксија и една Microsoft Azure IP-адреса („52.139.3[.]76“) за откривање на login панели.

„Кампањата се одвивала во два различни режима: масовна, дистрибуирана операција за откривање login панели со ротација на резиденцијални проксија и концентрирана, AWS-хостирана акција за откривање на верзии“, истакна GreyNoise. „Овие активности имале комплементарни цели – истовремено пронаоѓање на login панели и евидентирање на верзиите, што укажува на координирано извидување.“

Извори:

  • The Hacker News – Malicious NGINX Configurations Enable Large-Scale Web Traffic Hijacking Campaign The Hacker News