React2Shell দুর্বলতা

নিরাপত্তা গবেষকরা নিশ্চিত করেছেন যে React2Shell নামে পরিচিত গুরুত্বপূর্ণ দুর্বলতাটি লিনাক্স-ভিত্তিক সিস্টেমগুলিকে ঝুঁকিপূর্ণ করার জন্য একাধিক হুমকিদাতা দ্বারা সক্রিয়ভাবে অপব্যবহার করা হচ্ছে। এই ত্রুটিটি বেশ কয়েকটি ম্যালওয়্যার পরিবার, বিশেষ করে KSwapDoor এবং ZnDoor স্থাপনের জন্য ব্যবহার করা হচ্ছে, যা প্রভাবিত পরিবেশে গভীর এবং স্থায়ী অ্যাক্সেস সক্ষম করে। চলমান শোষণটি হাইলাইট করে যে উচ্চ-প্রভাবশালী অ্যাপ্লিকেশন ত্রুটিগুলি প্রকাশের পরে কত দ্রুত কার্যকর হয়।

KSwapDoor: একটি গোপন-কেন্দ্রিক লিনাক্স ব্যাকডোর

KSwapDoor হল একটি সাবধানে তৈরি রিমোট অ্যাক্সেস টুল যা দীর্ঘ সময়ের জন্য গোপন রাখার জন্য তৈরি করা হয়েছে। এটি একটি অভ্যন্তরীণ মেশ নেটওয়ার্ক স্থাপন করে যা সংক্রামিত সার্ভারগুলিকে একে অপরের সাথে যোগাযোগ করতে দেয়, আক্রমণকারীদের ঘেরের প্রতিরক্ষা বাইপাস করতে এবং পৃথক নোড ব্লক করা হলে স্থিতিস্থাপকতা বজায় রাখতে সহায়তা করে। এর নেটওয়ার্ক ট্র্যাফিক শক্তিশালী এনক্রিপশন দ্বারা সুরক্ষিত, যা পরিদর্শন এবং সনাক্তকরণকে উল্লেখযোগ্যভাবে কঠিন করে তোলে। এর সবচেয়ে উদ্বেগজনক ক্ষমতাগুলির মধ্যে একটি হল একটি সুপ্ত বা 'স্লিপার' অবস্থা, যা ম্যালওয়্যারকে নিষ্ক্রিয় থাকতে দেয় যতক্ষণ না এটি একটি গোপন ট্রিগার পায় যা এটিকে পুনরায় সক্রিয় করে, কার্যকরভাবে ফায়ারওয়াল নিয়ন্ত্রণগুলিকে বাইপাস করে।

গবেষকরা স্পষ্ট করে বলেছেন যে KSwapDoor কে পূর্বে BPFDoor হিসেবে ভুলভাবে চিহ্নিত করা হয়েছিল। বাস্তবে, এটি একটি লিনাক্স ব্যাকডোর যা ইন্টারেক্টিভ শেল অ্যাক্সেস, ইচ্ছামত কমান্ড এক্সিকিউশন, ফাইল ম্যানিপুলেশন এবং পার্শ্বীয় চলাচলের সুযোগের জন্য স্ক্যানিং সমর্থন করে। আরও মিশ্রিত করার জন্য, এটি একটি বৈধ লিনাক্স কার্নেল সোয়াপ ডেমন হিসাবে ছদ্মবেশ ধারণ করে, যা নিয়মিত সিস্টেম পর্যবেক্ষণের সময় সন্দেহ উত্থাপনের সম্ভাবনা হ্রাস করে।

জাপানি সংস্থাগুলিকে লক্ষ্য করে ZnDoor প্রচারণা

একই সাথে, জাপানের বিভিন্ন প্রতিষ্ঠানের উপর আক্রমণ চালানো হচ্ছে যারা ZnDoor সরবরাহ করার জন্য React2Shell ব্যবহার করে। এই রিমোট অ্যাক্সেস ট্রোজানটি কমপক্ষে ডিসেম্বর ২০২৩ সাল থেকে বাস্তব জগতের কার্যকলাপে দেখা যাচ্ছে। এই অনুপ্রবেশগুলি সাধারণত একটি সাধারণ bash কমান্ড দিয়ে শুরু হয় যা wget ব্যবহার করে 45.76.155.14 এ একটি রিমোট সার্ভার থেকে পেলোড পুনরুদ্ধার করে এবং তারপর স্থানীয়ভাবে এটি কার্যকর করে।

ইনস্টল করার পরে, ZnDoor নির্দেশাবলী গ্রহণ এবং সেগুলি অনুসারে কাজ করার জন্য আক্রমণকারী-নিয়ন্ত্রিত অবকাঠামোর সাথে সংযোগ স্থাপন করে। এর কার্যকারিতা বিস্তৃত এবং আপোস করা হোস্টের উপর সম্পূর্ণ নিয়ন্ত্রণ সক্ষম করে, যেমনটি নীচের সমর্থিত কমান্ড দ্বারা চিত্রিত করা হয়েছে:

• সরাসরি কমান্ড এক্সিকিউশন এবং ইন্টারেক্টিভ অ্যাক্সেসের জন্য শেল এবং ইন্টারেক্টিভ_শেল
• ফাইল এবং ডিরেক্টরি ক্রিয়াকলাপের জন্য এক্সপ্লোরার, এক্সপ্লোরার_ক্যাট, এক্সপ্লোরার_ডিলিট, এক্সপ্লোরার_আপলোড এবং এক্সপ্লোরার_ডাউনলোড
• হোস্ট তথ্য সংগ্রহের জন্য সিস্টেম
• ফাইল টাইমস্ট্যাম্প পরিবর্তন করতে change_timefile
• একটি SOCKS5 প্রক্সি চালু করার জন্য socket_quick_startstreams
• পোর্ট ফরওয়ার্ডিং পরিচালনা করতে start_in_port_forward এবং stop_in_port ব্যবহার করুন

CVE-2025-55182 এবং মাল্টি-গ্রুপ অস্ত্রায়ন

এই বৃহত্তর কার্যকলাপটি CVE-2025-55182 এর ব্যাপক শোষণের সাথে মিলে যায়, একটি React2Shell দুর্বলতা যার সর্বোচ্চ CVSS স্কোর 10.0। কমপক্ষে পাঁচটি চীন-সংযুক্ত হুমকি গোষ্ঠী এই ত্রুটিটিকে অস্ত্র হিসেবে ব্যবহার করে বিভিন্ন ধরণের পেলোড বিতরণ করতে দেখা গেছে, যার মধ্যে রয়েছে টানেলিং টুল, ডাউনলোডার এবং একাধিক লিনাক্স ব্যাকডোর। এর মধ্যে ছিল MINOCAT, SNOWLIGHT, COMPOOD, একটি আপডেটেড HISONIC ভেরিয়েন্ট যা Cloudflare Pages এবং GitLab ব্যবহার করে বৈধ ট্র্যাফিকের সাথে মিশে যায় এবং ANGRYREBEL এর একটি লিনাক্স সংস্করণ, যা Noodle RAT নামেও পরিচিত।

শোষণ-পরবর্তী অপব্যবহার এবং পেলোড বৈচিত্র্য

প্রাথমিক কোড এক্সিকিউশন অর্জনের পর, আক্রমণকারীরা সাধারণত তাদের অবস্থান আরও গভীর করার জন্য নির্বিচারে কমান্ড চালায়। এর মধ্যে রয়েছে পরিচিত কোবাল্ট স্ট্রাইক অবকাঠামোতে বিপরীত শেল স্থাপন করা, মেশএজেন্টের মতো দূরবর্তী পর্যবেক্ষণ এবং পরিচালনা সরঞ্জাম স্থাপন করা, অনুমোদিত_কি ফাইল পরিবর্তন করা এবং সরাসরি রুট লগইন সক্ষম করা। এই অপারেশনগুলির সময় দেখা অতিরিক্ত পেলোডগুলির মধ্যে রয়েছে VShell, EtherRAT, ShadowPad, XMRig এবং SNOWLIGHT এর বারবার স্থাপনা।

সনাক্তকরণ এড়াতে, প্রচারাভিযানগুলি প্রায়শই trycloudflare.com ডোমেনের অধীনে ক্লাউডফ্লেয়ার টানেল এন্ডপয়েন্টের উপর নির্ভর করে, যা কমান্ড-এন্ড-কন্ট্রোল ট্র্যাফিককে বৈধ পরিষেবাগুলির সাথে মিশে যেতে দেয়। এরপর পরিবেশের মানচিত্র তৈরি, পার্শ্বীয় গতিবিধি সমর্থন এবং মূল্যবান প্রমাণপত্রাদি সনাক্ত করার জন্য ব্যাপক অনুসন্ধান চালানো হয়।

মেঘের প্রমাণপত্র সংগ্রহ এবং গোপন আবিষ্কার

এই আক্রমণগুলির একটি প্রধান লক্ষ্য হল ক্লাউড পরিবেশের মধ্যে শংসাপত্র চুরি। হুমকিদাতাদের Azure, AWS, Google Cloud Platform এবং Tencent Cloud এর জন্য ইনস্ট্যান্স মেটাডেটা পরিষেবাগুলি অনুসন্ধান করতে দেখা গেছে যাতে তারা পরিচয় টোকেন পেতে এবং তাদের অ্যাক্সেস প্রসারিত করতে পারে। তারা সংবেদনশীল উপাদান বের করার জন্য কাস্টম স্ক্রিপ্টের পাশাপাশি TruffleHog এবং Gitleaks এর মতো গোপন স্ক্যানিং সরঞ্জামগুলিও ব্যবহার করে। এর মধ্যে রয়েছে OpenAI API কী, Databricks টোকেন, Kubernetes পরিষেবা অ্যাকাউন্ট গোপনীয়তা এবং Azure CLI এবং Azure ডেভেলপার CLI টুলিংয়ের মাধ্যমে প্রাপ্ত অ্যাক্সেস টোকেনের মতো AI এবং ক্লাউড-নেটিভ শংসাপত্র চুরি করার প্রচেষ্টা।

Next.js এক্সপ্লোইটেশন এবং ডেটা এক্সফিল্ট্রেশন

সম্পর্কিত একটি প্রচারণায়, গবেষকরা CVE-2025-29927 এবং CVE-2025-66478 সহ একাধিক Next.js ত্রুটির শোষণের নথিভুক্ত করেছেন, যা পরবর্তীটি একই React2Shell সমস্যার জন্য পূর্ববর্তী শনাক্তকারী ছিল। এই আক্রমণগুলি কনফিগারেশন ফাইল, পরিবেশ ভেরিয়েবল, SSH কী, ক্লাউড শংসাপত্র, Git প্রমাণীকরণ ডেটা, শেল কমান্ড ইতিহাস এবং passwd এবং shadow এর মতো সংবেদনশীল সিস্টেম ফাইলগুলিকে পদ্ধতিগতভাবে বের করার উপর দৃষ্টি নিবদ্ধ করে। ম্যালওয়্যারটি স্থায়িত্বও প্রতিষ্ঠা করে, একটি SOCKS5 প্রক্সি ইনস্টল করে, পোর্ট 888 এ 67.217.57.240 এ একটি বিপরীত শেল খোলে এবং অতিরিক্ত দুর্বল লক্ষ্যগুলির জন্য ইন্টারনেটে অনুসন্ধান করার জন্য একটি React স্ক্যানার স্থাপন করে।

অপারেশন পিসিপিক্যাট: স্কেল এবং প্রভাব

"অপারেশন পিসিপিক্যাট" নামে ট্র্যাক করা এই সম্মিলিত কার্যকলাপ ইতিমধ্যেই ৫৯,১২৮টি সার্ভারের সাথে আপস করেছে বলে মনে করা হচ্ছে। বিশ্লেষকরা এই অভিযানকে বৃহৎ পরিসরে গোয়েন্দা তথ্য সংগ্রহ এবং শিল্পায়িত তথ্য অপচয়ের ইঙ্গিত হিসেবে মূল্যায়ন করছেন। বর্তমান পরিমাপ থেকে জানা যায় যে, ১,১১,০০০-এরও বেশি আইপি ঠিকানা React2Shell শোষণের ঝুঁকিতে রয়ে গেছে, যার সর্বোচ্চ ঘনত্ব মার্কিন যুক্তরাষ্ট্রে, তার পরে জার্মানি, ফ্রান্স এবং ভারত। সংগৃহীত টেলিমেট্রি আরও ইঙ্গিত দেয় যে মার্কিন যুক্তরাষ্ট্র, ভারত, যুক্তরাজ্য, সিঙ্গাপুর এবং নেদারল্যান্ডসের মতো অঞ্চলগুলিতে শত শত দূষিত আইপি ঠিকানা ২৪ ঘন্টার মধ্যে সক্রিয়ভাবে শোষণের প্রচেষ্টায় অংশগ্রহণ করেছে।