پژوهشگران امنیت سایبری از شناسایی یک کمپین فعال ربایش ترافیک وب در مقیاس گسترده خبر دادهاند که با سوءاستفاده از پیکربندیهای مخرب NGINX و پنلهای مدیریتی مانند Baota (BT Panel)، ترافیک وبسایتها را از مسیر اصلی خارج کرده و از زیرساخت مهاجمان عبور میدهد.
آزمایشگاه امنیت سایبری Datadog اعلام کرده است که این فعالیتها با سوءاستفاده از آسیبپذیری بحرانی React2Shell (CVE-2025-55182 با امتیاز CVSS: 10.0) انجام میشود.
نحوه ربایش ترافیک با پیکربندیهای مخرب NGINX
به گفته «Ryan Simon» پژوهشگر امنیتی:
پیکربندی مخرب، ترافیک قانونی کاربران و وبسایتها را رهگیری کرده و آن را به سرورهای پشتیبان تحت کنترل مهاجم هدایت میکند.
این کمپین بهطور ویژه اهداف زیر را مورد هدف قرار داده است:
- دامنههای سطح بالا آسیایی:.in، .id، .pe، .bd، .th
- زیرساختهای میزبانی چینی (Baota Panel)
- دامنههای دولتی و آموزشی: .eduو .gov
هسته فنی حمله: تزریق کانفیگ مخرب
مهاجمان با استفاده از اسکریپتهای شِل، پیکربندیهای مخرب را به فایلهای NGINX تزریق میکنند. این پیکربندیها شامل بلوکهای location هستند که:
- درخواستهای ورودی را رهگیری میکنند.
- با دستور proxy_pass ترافیک را به دامنههای تحت کنترل مهاجم منتقل میکنند.
ابزارهای مورد استفاده در زنجیره حمله
این کمپین از یک کیت چندمرحلهای برای ماندگاری و مدیریت حمله استفاده میکند:
- sh: اسکریپت هماهنگکننده مراحل بعدی با استفاده از curl یا wget (در صورت مسدود بودن، ایجاد اتصال TCP خام)
- sh: هدفگیری محیط Baota Panel و بازنویسی کانفیگ NGINX
- sh: شناسایی مسیرهای رایج کانفیگ NGINX و کاهش خطا هنگام تزریق
- sh: تمرکز بر NGINX در لینوکس و کانتینرها، با هدف دامنههایی مثل .in و .id
- sh: تولید گزارش از تمام قوانین فعال ربایش ترافیک
Datadog تأکید کرده است که این ابزارها برای شناسایی هدف، ماندگاری و تغییر پیکربندی وبسرورها طراحی شدهاند.
منشأ اولیه نفوذ و نسبتدهی حمله
Ryan Simon اعلام کرده است که اطلاعات بیشتری درباره مهاجمان در دست نیست، اما با اطمینان متوسط میتوان گفت دسترسی اولیه از طریق بهرهبرداری از React2Shell به دست آمده است.
آمار سوءاستفاده از React2Shell
بر اساس گزارش GreyNoise:
2 آدرس IP زیر، مسئول 56٪ تلاشهای بهرهبرداری هستند:
- 142.147[.]209
- 121.84[.]24
در بازه 26 ژانویه تا 2 فوریه 2026:
- 1,083 آدرس IP یکتا در حملات مشارکت داشتهاند.
دو الگوی عملیاتی اصلی مشاهده شده است:
- دانلود بدافزار استخراج رمزارز
- باز کردن Reverse Shell برای دسترسی تعاملی
همزمانی با کمپین شناسایی Citrix و NetScaler
این افشاگری همزمان با شناسایی یک کمپین شناسایی هماهنگ علیه Citrix ADC Gateway و NetScaler Gateway منتشر شده است.
ویژگیهای این کمپین:
- استفاده از دهها هزار Residential Proxy
- یک IP واحد از Microsoft Azure: 139.3[.]76
هدف:
- شناسایی پنلهای لاگین
- استخراج نسخه نرمافزار
GreyNoise این عملکرد را نشانهای از شناسایی سازمانیافته و هدفمند میداند.
جمعبندی
این کمپین نشان میدهد که مهاجمان چگونه میتوانند با دستکاری قانونیترین بخش زیرساخت وب (NGINX)، بدون بدافزار کلاسیک، کنترل ترافیک وب را در دست بگیرند.
امنیت وبسرورها دیگر فقط به وصلهکردن آسیبپذیری ختم نمیشود؛ اکنون کنترل یکپارچگی پیکربندیها حیاتی است.
