Оферта за отстъпка за множество лицензи
База данни за заплахи Уязвимост Уязвимост на React2Shell

Уязвимост на React2Shell

До Mezo през Уязвимост, Усъвършенствана постоянна заплаха (APT), Зловреден софтуерг
Превод на:

Изследователи по сигурността потвърдиха, че критичната уязвимост, известна като React2Shell, се използва активно от множество злонамерени лица за компрометиране на Linux-базирани системи. Пропускът се използва за внедряване на няколко семейства зловреден софтуер, най-вече KSwapDoor и ZnDoor, което позволява дълбок и постоянен достъп до засегнатите среди. Продължаващата експлоатация подчертава колко бързо се внедряват силно въздействащи недостатъци в приложенията, след като бъдат разкрити.

KSwapDoor: Скрит, фокусиран върху Linux бекдор

KSwapDoor е внимателно разработен инструмент за отдалечен достъп, създаден да остане скрит за дълги периоди от време. Той изгражда вътрешна мрежова мрежа, която позволява на заразените сървъри да комуникират помежду си, помагайки на атакуващите да заобиколят периметърните защити и да поддържат устойчивост, ако отделни възли са блокирани. Мрежовият му трафик е защитен със силно криптиране, което значително затруднява проверката и откриването. Една от най-тревожните му възможности е спящото или „спящо“ състояние, което позволява на зловредния софтуер да остане неактивен, докато не получи скрит спусък, който го реактивира, като по този начин ефективно заобикаля контролите на защитната стена.

Изследователите уточниха, че KSwapDoor преди това е бил погрешно идентифициран като BPFDoor. В действителност това е Linux backdoor, който поддържа интерактивен достъп до обвивката, изпълнение на произволни команди, манипулиране на файлове и сканиране за възможности за странично движение. За да се слее допълнително с наличността, той се маскира като легитимен демон за смяна на ядрото на Linux, намалявайки вероятността от повдигане на съмнения по време на рутинно системно наблюдение.

Кампании на ZnDoor, насочени към японски организации

Успоредно с това, организации в Япония са били обект на атаки, които използват React2Shell за доставяне на ZnDoor. Този троянски кон за отдалечен достъп е наблюдаван в реалния свят поне от декември 2023 г. Тези прониквания обикновено започват с проста bash команда, която извлича полезния товар от отдалечен сървър на адрес 45.76.155.14, използвайки wget, и след това го изпълнява локално.

След инсталиране, ZnDoor се свързва обратно с контролираната от хакера инфраструктура, за да получава инструкции и да действа по тях. Функционалността му е широка и позволява пълен контрол над компрометирания хост, както е илюстрирано от поддържания набор от команди по-долу:

  • shell и interactive_shell за директно изпълнение на команди и интерактивен достъп
  • explorer, explorer_cat, explorer_delete, explorer_upload и explorer_download за операции с файлове и директории
  • система за събиране на информация за хоста
  • change_timefile за промяна на времевите отметки на файловете
  • socket_quick_startstreams за стартиране на SOCKS5 прокси
  • start_in_port_forward и stop_in_port за управление на пренасочването на портове

CVE-2025-55182 и внедряване на оръжия в множество групи

По-широката активност съвпада с широко разпространената експлоатация на CVE-2025-55182, уязвимост в React2Shell, на която е присвоен максимален CVSS резултат от 10.0. Наблюдавани са поне пет свързани с Китай групи за заплахи, които използват тази уязвимост като оръжие, за да разпространяват разнообразни полезни товари, включително инструменти за тунелиране, програми за изтегляне и множество задни врати за Linux. Сред тях са MINOCAT, SNOWLIGHT, COMPOOD, актуализиран вариант на HISONIC, който се слива с легитимен трафик, използвайки Cloudflare Pages и GitLab, и Linux версия на ANGRYREBEL, известна още като Noodle RAT.

Злоупотреба след експлоатация и разнообразие на полезния товар

След като получат първоначално изпълнение на код, нападателите обикновено изпълняват произволни команди, за да задълбочат позициите си. Това включва установяване на обратни шелове (reverse shells) към известна инфраструктура на Cobalt Strike, внедряване на инструменти за дистанционно наблюдение и управление като MeshAgent, промяна на файла authorized_keys и активиране на директен root вход. Допълнителни полезни товари, наблюдавани по време на тези операции, включват VShell, EtherRAT, ShadowPad, XMRig и многократно внедряване на SNOWLIGHT.

За да избегнат откриването, кампаниите често разчитат на крайни точки на Cloudflare Tunnel под домейна trycloudflare.com, което позволява трафикът от командно-контролен тип да се слее с легитимни услуги. След това се извършва обширно разузнаване, за да се картографира средата, да се подпомогне страничното движение и да се идентифицират ценни идентификационни данни.

Събиране на облачни данни за достъп и откриване на тайни данни

Основен фокус на тези атаки е кражбата на идентификационни данни в облачни среди. Наблюдавани са злонамерени лица, които заявяват услуги за метаданни на екземпляри за Azure, AWS, Google Cloud Platform и Tencent Cloud в опит да получат идентификационни маркери и да разширят достъпа си. Те също така внедряват инструменти за сканиране на секретни данни като TruffleHog и Gitleaks, заедно с персонализирани скриптове, за да извличат чувствителен материал. Това включва опити за кражба на идентификационни данни, свързани с изкуствен интелект, и облачни идентификационни данни, като ключове за OpenAI API, токени на Databricks, тайни на акаунти на услуги на Kubernetes и токени за достъп, получени чрез инструменти на Azure CLI и Azure Developer CLI.

Експлоатация на Next.js и извличане на данни

В свързана кампания, изследователи документираха експлоатацията на множество недостатъци на Next.js, включително CVE-2025-29927 и CVE-2025-66478, като последният е по-ранен идентификатор за същия проблем с React2Shell. Тези атаки се фокусираха върху систематично извличане на конфигурационни файлове, променливи на средата, SSH ключове, облачни идентификационни данни, данни за удостоверяване на Git, история на командите на shell и чувствителни системни файлове като passwd и shadow. Зловредният софтуер също така установява персистентност, инсталира SOCKS5 прокси, отваря обратна обвивка към 67.217.57.240 на порт 888 и разполага React скенер, за да търси в интернет допълнителни уязвими цели.

Операция PCPcat: Мащаб и въздействие

Смята се, че комбинираната активност, проследена под името „Операция PCPcat“, вече е компрометирала 59 128 сървъра. Анализаторите оценяват кампанията като показателна за мащабно събиране на разузнавателна информация и индустриализирано изтичане на данни. Текущите измервания показват, че над 111 000 IP адреса остават уязвими за експлоатация на React2Shell, с най-висока концентрация в Съединените щати, следвани от Германия, Франция и Индия. Събраната телеметрия допълнително показва, че стотици злонамерени IP адреси в региони като САЩ, Индия, Великобритания, Сингапур и Холандия са участвали активно в опити за експлоатация в рамките на един 24-часов период.

Тенденция

Webmotion.co.in

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Да бъдете бдителни, докато разглеждате мрежата, е от съществено значение, тъй като измамните сайтове и агресивните рекламни схеми продължават да се развиват. Злонамерените лица рутинно създават...

Зловреден софтуер EtherRAT

Инструменти за отдалечено администриране, Усъвършенствана постоянна заплаха (APT)
Смята се, че наскоро разкрита кампания от заплахи, свързана със севернокорейски оператори, използва критичната уязвимост React2Shell (RSC), за да внедри невиждан досега троянски кон за отдалечен...

Qiaoxp Kramv Utils

Потенциално нежелани програми, Рекламен софтуер, Похитители на браузъри
Защитата на вашите устройства от натрапчиви и ненадеждни потенциално нежелани програми (PUP) е от решаващо значение. PUP, макар и не винаги да се класифицират като откровен зловреден софтуер, могат...

Най-гледан

Зареждане...