⚡ Não perca: notícia importante no ar! ⚡
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de uma campanha ativa de sequestro de tráfego da web que teve como alvo instalações NGINX e painéis de gerenciamento como o Baota (BT) na tentativa de encaminhá-lo através da infraestrutura do invasor.
O Datadog Security Labs disse que observou atores de ameaças associados à recente exploração do React2Shell (CVE-2025-55182, pontuação CVSS: 10,0) usando configurações NGINX maliciosas para realizar o ataque.
“A configuração maliciosa intercepta o tráfego legítimo da web entre usuários e sites e o encaminha através de servidores backend controlados pelo invasor”, disse o pesquisador de segurança Ryan Simon. "A campanha tem como alvo TLDs asiáticos (.in, .id, .pe, .bd, .th), infraestrutura de hospedagem chinesa (Painel Baota) e TLDs governamentais e educacionais (.edu, .gov)."
A atividade envolve o uso de scripts de shell para injetar configurações maliciosas no NGINX, um proxy reverso de código aberto e balanceador de carga para gerenciamento de tráfego da web. Essas configurações de “localização” são projetadas para capturar solicitações recebidas em determinados caminhos de URL predefinidos e redirecioná-las para domínios sob controle dos invasores por meio da diretiva “proxy_pass”.
Os scripts fazem parte de um kit de ferramentas de vários estágios que facilita a persistência e a criação de arquivos de configuração maliciosos que incorporam diretivas maliciosas para redirecionar o tráfego da web. Os componentes do kit de ferramentas estão listados abaixo -
zx.sh, que atua como orquestrador para executar estágios subsequentes por meio de utilitários legítimos como curl ou wget. Caso os dois programas sejam bloqueados, ele cria uma conexão TCP bruta para enviar uma solicitação HTTP
bt.sh, que tem como alvo o ambiente do Painel de Gerenciamento Baota (BT) para substituir arquivos de configuração NGINX
4zdh.sh, que enumera locais comuns de configuração do Nginx e toma medidas para minimizar erros ao criar a nova configuração
zdh.sh, que adota uma abordagem de segmentação mais restrita, concentrando-se principalmente em configurações Linux ou NGINX em contêineres e visando domínios de nível superior (TLDs), como .in e .id
ok.sh, que é responsável por gerar um relatório detalhando todas as regras ativas de sequestro de tráfego NGINX
“O kit de ferramentas contém descoberta de alvos e vários scripts projetados para persistência e criação de arquivos de configuração maliciosos contendo diretivas destinadas a redirecionar o tráfego da web.
A divulgação ocorre no momento em que GreyNoise disse que dois endereços IP – 193.142.147[.]209 e 87.121.84[.]24 – respondem por 56% de todas as tentativas de exploração observadas dois meses após o React2Shell ter sido divulgado publicamente. Um total de 1.083 endereços IP de origem exclusivos estiveram envolvidos na exploração do React2Shell entre 26 de janeiro e 2 de fevereiro de 2026.
“As fontes dominantes implantam cargas pós-exploração distintas: uma recupera binários de criptomineração de servidores de teste, enquanto a outra abre shells reversos diretamente para o IP do scanner”, disse a empresa de inteligência de ameaças. "Esta abordagem sugere interesse no acesso interativo em vez da extração automatizada de recursos."
Também segue a descoberta de uma campanha de reconhecimento coordenada visando a infraestrutura Citrix ADC Gateway e Netscaler Gateway usando dezenas de milhares de proxies residenciais e um único endereço IP do Microsoft Azure ("52.139.3[.]76") para descobrir painéis de login.
“A campanha executou dois modos distintos: uma operação massiva de descoberta de painel de login distribuído usando rotação de proxy residencial e um sprint concentrado de divulgação de versão hospedada na AWS”, observou GreyNoise. “Eles tinham objetivos complementares de encontrar painéis de login e enumerar versões, o que sugere um reconhecimento coordenado”.
O Datadog Security Labs disse que observou atores de ameaças associados à recente exploração do React2Shell (CVE-2025-55182, pontuação CVSS: 10,0) usando configurações NGINX maliciosas para realizar o ataque.
“A configuração maliciosa intercepta o tráfego legítimo da web entre usuários e sites e o encaminha através de servidores backend controlados pelo invasor”, disse o pesquisador de segurança Ryan Simon. "A campanha tem como alvo TLDs asiáticos (.in, .id, .pe, .bd, .th), infraestrutura de hospedagem chinesa (Painel Baota) e TLDs governamentais e educacionais (.edu, .gov)."
A atividade envolve o uso de scripts de shell para injetar configurações maliciosas no NGINX, um proxy reverso de código aberto e balanceador de carga para gerenciamento de tráfego da web. Essas configurações de “localização” são projetadas para capturar solicitações recebidas em determinados caminhos de URL predefinidos e redirecioná-las para domínios sob controle dos invasores por meio da diretiva “proxy_pass”.
Os scripts fazem parte de um kit de ferramentas de vários estágios que facilita a persistência e a criação de arquivos de configuração maliciosos que incorporam diretivas maliciosas para redirecionar o tráfego da web. Os componentes do kit de ferramentas estão listados abaixo -
zx.sh, que atua como orquestrador para executar estágios subsequentes por meio de utilitários legítimos como curl ou wget. Caso os dois programas sejam bloqueados, ele cria uma conexão TCP bruta para enviar uma solicitação HTTP
bt.sh, que tem como alvo o ambiente do Painel de Gerenciamento Baota (BT) para substituir arquivos de configuração NGINX
4zdh.sh, que enumera locais comuns de configuração do Nginx e toma medidas para minimizar erros ao criar a nova configuração
zdh.sh, que adota uma abordagem de segmentação mais restrita, concentrando-se principalmente em configurações Linux ou NGINX em contêineres e visando domínios de nível superior (TLDs), como .in e .id
ok.sh, que é responsável por gerar um relatório detalhando todas as regras ativas de sequestro de tráfego NGINX
“O kit de ferramentas contém descoberta de alvos e vários scripts projetados para persistência e criação de arquivos de configuração maliciosos contendo diretivas destinadas a redirecionar o tráfego da web.
A divulgação ocorre no momento em que GreyNoise disse que dois endereços IP – 193.142.147[.]209 e 87.121.84[.]24 – respondem por 56% de todas as tentativas de exploração observadas dois meses após o React2Shell ter sido divulgado publicamente. Um total de 1.083 endereços IP de origem exclusivos estiveram envolvidos na exploração do React2Shell entre 26 de janeiro e 2 de fevereiro de 2026.
“As fontes dominantes implantam cargas pós-exploração distintas: uma recupera binários de criptomineração de servidores de teste, enquanto a outra abre shells reversos diretamente para o IP do scanner”, disse a empresa de inteligência de ameaças. "Esta abordagem sugere interesse no acesso interativo em vez da extração automatizada de recursos."
Também segue a descoberta de uma campanha de reconhecimento coordenada visando a infraestrutura Citrix ADC Gateway e Netscaler Gateway usando dezenas de milhares de proxies residenciais e um único endereço IP do Microsoft Azure ("52.139.3[.]76") para descobrir painéis de login.
“A campanha executou dois modos distintos: uma operação massiva de descoberta de painel de login distribuído usando rotação de proxy residencial e um sprint concentrado de divulgação de versão hospedada na AWS”, observou GreyNoise. “Eles tinham objetivos complementares de encontrar painéis de login e enumerar versões, o que sugere um reconhecimento coordenado”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #configurações #maliciosas #do #nginx #permitem #campanha #de #sequestro #de #tráfego #da #web #em #grande #escala
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário