Zranitelnost React2Shell
Bezpečnostní výzkumníci potvrdili, že kritická zranitelnost známá jako React2Shell je aktivně zneužívána řadou aktérů kybernetických útoků k napadení systémů založených na Linuxu. Chyba je využívána k nasazení několika rodin malwaru, zejména KSwapDoor a ZnDoor, což umožňuje hluboký a trvalý přístup k postiženým prostředím. Probíhající zneužívání zdůrazňuje, jak rychle se po odhalení projeví vysoce závažné chyby v aplikacích.
Obsah
KSwapDoor: Nenápadný Linuxový backdoor
KSwapDoor je pečlivě navržený nástroj pro vzdálený přístup, který je navržen tak, aby zůstal po dlouhou dobu skrytý. Vytváří interní síť, která umožňuje infikovaným serverům vzájemnou komunikaci, což útočníkům pomáhá obejít obranu perimetru a udržet odolnost, pokud jsou jednotlivé uzly blokovány. Jeho síťový provoz je chráněn silným šifrováním, což výrazně ztěžuje kontrolu a detekci. Jednou z jeho nejznepokojivějších vlastností je latentní neboli „spící“ stav, který umožňuje malwaru zůstat neaktivní, dokud neobdrží skrytý signál, který ho znovu aktivuje, a efektivně tak obchází ovládací prvky firewallu.
Výzkumníci objasnili, že KSwapDoor byl dříve mylně identifikován jako BPFDoor. Ve skutečnosti se jedná o linuxový backdoor, který podporuje interaktivní přístup k shellu, provádění libovolných příkazů, manipulaci se soubory a skenování možností laterálního pohybu. Aby lépe splynul s okolím, maskuje se jako legitimní démon pro swapování linuxového jádra, čímž snižuje pravděpodobnost vzbudení podezření během rutinního monitorování systému.
Kampaně ZnDoor zaměřené na japonské organizace
Souběžně s tím se organizace v Japonsku staly terčem útoků, které zneužívají React2Shell k doručování ZnDoor. Tento trojský kůň pro vzdálený přístup byl v reálném světě pozorován nejméně od prosince 2023. Tyto útoky obvykle začínají jednoduchým příkazem bash, který načte datové zatížení ze vzdáleného serveru na adrese 45.76.155.14 pomocí příkazu wget a poté jej spustí lokálně.
Po instalaci se ZnDoor připojí zpět k infrastruktuře ovládané útočníkem, aby přijímal instrukce a mohl podle nich reagovat. Jeho funkcionalita je široká a umožňuje plnou kontrolu nad napadeným hostitelem, jak ilustruje níže uvedená podporovaná sada příkazů:
- shell a interactive_shell pro přímé provádění příkazů a interaktivní přístup
- explorer, explorer_cat, explorer_delete, explorer_upload a explorer_download pro operace se soubory a adresáři
- systém pro sběr informací o hostiteli
- change_timefile pro změnu časových razítek souborů
- socket_quick_startstreams pro spuštění SOCKS5 proxy
- start_in_port_forward a stop_in_port pro správu přesměrování portů
CVE-2025-55182 a zbrojení více skupin
Širší aktivita se shoduje s rozsáhlým zneužíváním zranitelnosti CVE-2025-55182 v React2Shell s maximálním skóre CVSS 10,0. Bylo pozorováno nejméně pět skupin hrozeb spojených s Čínou, které tuto chybu využívají jako zbraň k distribuci široké škály datových zátěží, včetně nástrojů pro tunelování, stahování a několika zadních vrátek pro Linux. Mezi nimi byly MINOCAT, SNOWLIGHT, COMPOOD, aktualizovaná varianta HISONIC, která se pomocí Cloudflare Pages a GitLab propojuje s legitimním provozem, a linuxová verze ANGRYREBEL, známá také jako Noodle RAT.
Zneužívání po vykořisťování a diverzita užitečného zatížení
Po získání počátečního spuštění kódu útočníci běžně spouštějí libovolné příkazy, aby si prohloubili své pozice. To zahrnuje vytváření reverzních shelů ke známé infrastruktuře Cobalt Strike, nasazení nástrojů pro vzdálené monitorování a správu, jako je MeshAgent, úpravu souboru authorized_keys a povolení přímého přihlášení root. Mezi další datové části pozorované během těchto operací patří VShell, EtherRAT, ShadowPad, XMRig a opakované nasazení SNOWLIGHT.
Aby se kampaně vyhnuly odhalení, často se spoléhají na koncové body tunelu Cloudflare pod doménou trycloudflare.com, což umožňuje prolínání provozu velitelských a kontrolních služeb s legitimními službami. Poté se provádí rozsáhlý průzkum za účelem mapování prostředí, podpory laterálního pohybu a identifikace cenných přihlašovacích údajů.
Sběr cloudových přihlašovacích údajů a odhalování tajných informací
Hlavním cílem těchto útoků je krádež přihlašovacích údajů v cloudových prostředích. Bylo pozorováno, že útočníci dotazují služby metadat instancí pro Azure, AWS, Google Cloud Platform a Tencent Cloud ve snaze získat tokeny identity a rozšířit si přístup. Také nasazují nástroje pro skenování tajných údajů, jako jsou TruffleHog a Gitleaks, spolu s vlastními skripty, k extrakci citlivého materiálu. To zahrnuje pokusy o krádež přihlašovacích údajů umělé inteligence a cloudových nativních přihlašovacích údajů, jako jsou klíče OpenAI API, tokeny Databricks, tajné údaje účtů služeb Kubernetes a přístupové tokeny získané prostřednictvím nástrojů Azure CLI a Azure Developer CLI.
Zneužívání Next.js a exfiltrace dat
V související kampani vědci zdokumentovali zneužití několika chyb Next.js, včetně CVE-2025-29927 a CVE-2025-66478, přičemž CVE-2025-66478 je starším identifikátorem stejného problému v React2Shell. Tyto útoky se zaměřovaly na systematickou extrakci konfiguračních souborů, proměnných prostředí, SSH klíčů, cloudových přihlašovacích údajů, ověřovacích dat Git, historie příkazů shellu a citlivých systémových souborů, jako jsou passwd a shadow. Malware také nastavuje perzistenci, instaluje proxy SOCKS5, otevře reverzní shell na 67.217.57.240 na portu 888 a nasadí skener React, aby na internetu prohledal další zranitelné cíle.
Operace PCPcat: Rozsah a dopad
Předpokládá se, že kombinovaná aktivita, sledovaná pod názvem Operace PCPcat, již napadla 59 128 serverů. Analytici hodnotí kampaň jako svědčící o rozsáhlém sběru zpravodajských informací a industrializovaném úniku dat. Současná měření naznačují, že více než 111 000 IP adres je i nadále zranitelných vůči zneužití React2Shell, s nejvyšší koncentrací ve Spojených státech, následovaných Německem, Francií a Indií. Shromážděná telemetrie dále naznačuje, že stovky škodlivých IP adres v regionech, jako jsou USA, Indie, Spojené království, Singapur a Nizozemsko, se aktivně podílely na pokusech o zneužití během jediného 24hodinového období.
