Cybersecurity-Forscher haben eine aktive Kampagne, die NGINX-Einrichtungen und Management-Panels wie Baota (BT) manipuliert, um legitimen Web-Verkehr auf die von Angreifern kontrollierte Infrastruktur zu lenken. Die Technik konzentriert sich nicht darauf, die Kryptographie zu brechen oder einen Fehler im Browser des Nutzers auszunutzen: Stattdessen ändert es die eigene Konfiguration des Webservers, so dass es leise als Proxy für bösartige Ziele fungiert.
Die Datadog Security Labs-Team war einer der ersten, die diese Aktivität dokumentieren und sie mit der Welle der Ausbeutung des Scheiterns namens React2Shell verknüpfen (in seinem Bericht als CVE-2025-55182). Laut ihrer Analyse injizieren die Angreifer NGINX Konfigurationsblöcke, die eingehende Anwendungen auf bestimmten Strecken erfassen und durch die Richtlinie wieder übertragen. Proxy _ Pass zu Servern unter Ihrer Kontrolle, so können Sie die Kommunikation der Besucher überprüfen, ändern oder nutzen. Weitere technische Details und Beispiele finden Sie im Datadog-Bericht Hier. und die Erklärung der Proxy _ Pass-Richtlinie in der offiziellen NGINX-Dokumentation finden Sie in diesem Link.
Was diese Kampagne besonders gefährlich macht, ist sein automatisierter Charakter und seine Beharrlichkeit: Die Angreifer haben eine Reihe von Skripten eingesetzt, die die Suche nach Zielen, die Änderung von Dateien und das Überleben von kompromittierten Systemen orchestrieren. Die von den Forschern identifizierten Namen umfassen zx.sh, die die folgenden Stadien startet und verwendet gemeinsame Dienstprogramme wie Curl oder wget - oder sogar rohe TCP-Verbindungen, wenn diese Werkzeuge blockiert sind -; bt.sh, die speziell auf Umgebungen mit dem Baota-Panel zeigt, um Konfigurationen zu überschreiben; 4zdh.sh und zdh.sh, die regelmäßige NGINX-Standorte suchen und den Umfang der Intrusion verfeinigen; Diese Stücke bilden, was Analysten beschreiben als Multilevel-Toolkit entworfen, um Ziele zu entdecken und schädliche Umleitung Regeln umzusetzen und zu pflegen.
Die Betreiber hinter dieser Kampagne scheinen in ihren Endzielen nicht gleichförmig zu sein. GreyNoise, der eine groß angelegte feindliche Netzwerkaktivität überwacht, identifizierte, dass einige IP-Adressen die meisten der ausbeutenden Versuche nach der Offenlegung von React2Shell geführt haben, und dass post-exploit payloads variieren: einige wiederherstellen ausführbar für Kryptominery, während andere offene Reverse Shells, was das Interesse an der automatisierten Ressourcennutzung und interaktiven Zugriff. Die Analyse von GreyNoise kann überprüft werden Hier..
Weitere relevante Daten sind der geographische und sektorale Schwerpunkt der Angreifer. Die beobachteten Muster zeigen Präferenzen für übergeordnete Domänen bestimmter Länder in Asien (.in, .id, .pe, .bd, .th), chinesische Hosting-Infrastruktur und institutioneller Räume wie .edu und .gov.domains. Darüber hinaus kommt diese Aktivität im Kontext von groß angelegten Erkennungskampagnen, die Zugriffsfelder für Produkte wie Citrix ADC und Netscaler Gateway durch massive Rotation von Wohn- und Nutzungsproxien in der Public Cloud gesucht haben, eine koordinierte Anstrengung, die GreyNoise in seiner Erkennungsanalyse dokumentiert hat. Hier..
Was sind die Risiken eines engagierten NGINX Sendens von Anfragen an den Angriff von Infrastruktur? Die Folgen reichen vom Diebstahl der Anmeldeinformationen und der Erfassung sensibler Daten bis hin zur Möglichkeit, schädliche Inhalte (z.B. Skripte, die Browser der Nutzer beeinflussen) einzufügen oder Traffic auf Zwischenserver für Spionageoperationen zu übertragen. Es besteht auch die Möglichkeit, spätere Lasten für Bergbau- oder Rücktüren bereitzustellen, die Seitenbewegungen innerhalb eines Unternehmensnetzwerks erleichtern.
Für diejenigen, die Webserver verwalten, sind die Zeichen solcher Verpflichtungen klar, wenn Sie wissen, wo Sie suchen: unerwartete "Location"-Konfigurationen, die auf externe Upstreams, einschließlich neuer Dateien in / etc / nginx oder gleichwertige Routen, wiederholt NGINX wieder außerhalb der üblichen Zeiten, und Prozesse, die hartnäckige ausgehende Verbindungen zu unbekannten Richtungen beginnen. Es wird empfohlen, die Integrität der Konfigurationsdateien mit Backup zu überprüfen, Echtzeit-Änderungen nach Möglichkeit zu prüfen und den Zugriff auf Management-Panels wie Baota durch Zugriffskontrolllisten und starke Authentifizierung zu begrenzen.
Neben der sofortigen Erkennung und Vermittlung erfordert die Verteidigung vorbeugende Maßnahmen: Server- und Verwaltungspanelen auf dem Laufenden zu halten, öffentlich genutzte Schwachstellen (wie z.B. React2Shell) zu patrouillieren, den ausgehenden Verkehr durch Netzfreigaberegeln einzuschränken, um unbefugte Kommunikationen zu verhindern und Verpflichtungsindikatoren im Zusammenhang mit typischen Nachausbeutungslastungen (Miner oder Reverse Shells) zu überwachen. Es ist auch angebracht, die Download-Tools und Dienstprogramme in den Systemen zu steuern, da Angreifer Curl, wget oder direkte TCP-Verbindungen verwenden, um ihre Komponenten zu bringen.
Dieser Vorfall erinnert daran, dass die Angriffsfläche nicht auf den Code der Web-Anwendungen beschränkt ist, sondern die sehr Schicht der Infrastruktur umfasst, die ihnen dient. Eine subtile Änderung der NGINX-Einstellungen kann einen legitimen Server in einen schädlichen Zwischenspeicher verwandeln, ohne dass der Besitzer es sofort bemerkt. Die Empfehlung für Betreiber und Sicherheitsausrüstung soll schnell handeln: Audit-Konfigurationen, die Quelle der Änderungen überprüfen und sicherstellen, dass Management-Schnittstellen geschützt und überwacht werden.
Um die technischen Erkenntnisse und Taktiken der Angreifer zu vertiefen, lesen Sie bitte die Berichte von Datadog Security Labs über die Verkehrsentführung in NGINX. Hier. und GreyNoise's Follow-up auf landwirtschaftlichen Konsolidierungs- und Anerkennungskampagnen Hier. und Hier.. Es ist auch nützlich, die offizielle Dokumentation von NGINX zu überprüfen, um besser zu verstehen, wie die Proxy _ Pass-Richtlinie in legitimen Kontexten verwendet wird in diesem Link.
Kurz gesagt, die Kombination von vorbekannten Sicherheitslücken, zugänglichen Management-Panels und einem automatisierten Toolkit erlaubt Angreifern eine Kampagne zu skalieren, die in der Lage ist, großen Verkehr umzuleiten. Die gute Nachricht ist, dass mit grundlegenden Zugriffskontrollen, Überwachung konzentriert auf Konfigurationsänderungen und strenge Egressrichtlinien können die Betriebssystemfenster erheblich reduzieren und Intrusionen schnell erkennen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...