React2Shelli haavatavus
Turvauurijad on kinnitanud, et kriitilist haavatavust, mida tuntakse kui React2Shell, kuritarvitavad aktiivselt mitmed ohurühmad Linuxi-põhiste süsteemide rünnamiseks. Seda viga kasutatakse mitme pahavara perekonna, eelkõige KSwapDoori ja ZnDoori, juurutamiseks, mis võimaldab sügavat ja püsivat juurdepääsu kahjustatud keskkondadele. Käimasolev ärakasutamine näitab, kui kiiresti suure mõjuga rakenduste puudused pärast avalikustamist rakendatakse.
Sisukord
KSwapDoor: varjatud juurdepääsule keskendunud Linuxi tagauks
KSwapDoor on hoolikalt loodud kaugjuurdepääsu tööriist, mis on loodud pikka aega varjatuks jääma. See loob sisemise võrgu, mis võimaldab nakatunud serveritel omavahel suhelda, aidates ründajatel mööda hiilida perimeetrikaitsest ja säilitada vastupidavust, kui üksikud sõlmed blokeeritakse. Selle võrguliiklus on kaitstud tugeva krüptimisega, mis muudab kontrolli ja tuvastamise oluliselt raskemaks. Üks selle kõige murettekitavamaid omadusi on uinunud või „magav” olek, mis võimaldab pahavaral jääda passiivseks, kuni see saab varjatud päästiku, mis selle uuesti aktiveerib, möödudes tõhusalt tulemüüri juhtelementidest.
Teadlased selgitasid, et KSwapDoor oli varem ekslikult identifitseeritud kui BPFDoor. Tegelikkuses on see Linuxi tagauks, mis toetab interaktiivset shellile juurdepääsu, suvalist käskude täitmist, failidega manipuleerimist ja külgliikumisvõimaluste skannimist. Veelgi paremaks sulandumiseks maskeerub see legitiimseks Linuxi kerneli swap-deemoniks, vähendades kahtluste tekkimise tõenäosust tavapärase süsteemi jälgimise käigus.
ZnDoori kampaaniad, mis on suunatud Jaapani organisatsioonidele
Paralleelselt on Jaapani organisatsioonide vastu suunatud rünnakud, mis kasutavad ZnDoori edastamiseks ära React2Shelli. Seda kaugjuurdepääsuga troojalast on reaalses tegevuses täheldatud vähemalt alates 2023. aasta detsembrist. Need sissetungid algavad tavaliselt lihtsa bash-käsuga, mis hangib wget'i abil serverist aadressil 45.76.155.14 oleva teabe ja seejärel käivitab selle lokaalselt.
Pärast installimist loob ZnDoor ühenduse ründaja kontrollitava infrastruktuuriga, et saada juhiseid ja nende alusel tegutseda. Selle funktsionaalsus on lai ja võimaldab täielikku kontrolli ohustatud hosti üle, nagu illustreerib allolev toetatud käskude komplekt:
- shell ja interactive_shell otsekäskude täitmiseks ja interaktiivseks juurdepääsuks
- explorer, explorer_cat, explorer_delete, explorer_upload ja explorer_download failide ja kataloogide toimingute jaoks
- süsteem hostiteabe kogumiseks
- change_timefile failide ajatemplite muutmiseks
- socket_quick_startstreams SOCKS5 puhverserveri käivitamiseks
- start_in_port_forward ja stop_in_port pordi edastamise haldamiseks
CVE-2025-55182 ja mitme rühma relvastamine
Laiem tegevus langeb kokku CVE-2025-55182 laialdase ärakasutamisega. See on React2Shelli haavatavus, millele on määratud maksimaalne CVSS-skoor 10,0. Vähemalt viit Hiinaga seotud ohurühma on täheldatud seda viga relvana kasutamas, et levitada mitmesuguseid kasulikke andmeid, sealhulgas tunneldamistööriistu, allalaadimisprogramme ja mitmeid Linuxi tagauksi. Nende hulgas olid MINOCAT, SNOWLIGHT, COMPOOD, uuendatud HISONICi variant, mis sulandub legaalsesse liiklusse Cloudflare Pagesi ja GitLabi abil, ning ANGRYREBELi Linuxi versioon, tuntud ka kui Noodle RAT.
Ärakasutamise järgne väärkohtlemine ja kasuliku koormuse mitmekesisus
Pärast esialgse koodi käivitamise saavutamist käivitavad ründajad oma positsiooni tugevdamiseks tavaliselt suvalisi käske. See hõlmab teadaoleva Cobalt Strike'i infrastruktuuri pöördkestade loomist, kaugseire- ja haldustööriistade (nt MeshAgent) juurutamist, authorized_keys faili muutmist ja otseste juurkasutaja sisselogimiste lubamist. Nende toimingute käigus täheldati ka teisi kasulikke koormusi, nagu VShell, EtherRAT, ShadowPad, XMRig ja SNOWLIGHT'i korduvaid juurutusi.
Avastamise vältimiseks tuginevad kampaaniad sageli Cloudflare Tunneli lõpp-punktidele trycloudflare.com domeeni all, võimaldades juhtimis- ja kontrollliiklusel sulandada end seaduslike teenustega. Seejärel viiakse läbi ulatuslikku luuret keskkonna kaardistamiseks, külgliikumise toetamiseks ja väärtuslike volituste tuvastamiseks.
Pilvepõhine volituste kogumine ja salajane avastamine
Nende rünnakute peamine fookus on volituste vargus pilvekeskkondades. On täheldatud, et rünnakute tegijad pärivad Azure'i, AWS-i, Google Cloud Platformi ja Tencent Cloudi eksemplaride metaandmete teenuseid, et hankida identiteedimärke ja laiendada oma juurdepääsu. Samuti kasutavad nad tundliku materjali hankimiseks salajaste andmete skaneerimise tööriistu, nagu TruffleHog ja Gitleaks, koos kohandatud skriptidega. See hõlmab katseid varastada tehisintellekti ja pilvepõhiseid volitusi, nagu OpenAI API-võtmed, Databricksi märgid, Kubernetesi teenusekonto saladused ja Azure'i CLI ja Azure'i arendaja CLI tööriistade kaudu saadud juurdepääsumärgid.
Next.js ärakasutamine ja andmete väljafiltreerimine
Seotud kampaanias dokumenteerisid teadlased mitmete Next.js vigade ärakasutamist, sealhulgas CVE-2025-29927 ja CVE-2025-66478, millest viimane oli sama React2Shelli probleemi varasem identifikaator. Need rünnakud keskendusid konfiguratsioonifailide, keskkonnamuutujate, SSH-võtmete, pilveteenuste mandaatide, Giti autentimisandmete, shelli käskude ajaloo ja tundlike süsteemifailide (nt passwd ja shadow) süstemaatilisele hankimisele. Pahavara loob ka püsivuse, installib SOCKS5 puhverserveri, avab pöördkesta pordile 888 aadressile 67.217.57.240 ja kasutab Reacti skannerit, et otsida internetist täiendavaid haavatavaid sihtmärke.
Operatsioon PCPcat: ulatus ja mõju
Arvatakse, et see kombineeritud tegevus, mida jälgitakse nime all Operatsioon PCPcat, on juba kahjustanud 59 128 serverit. Analüütikud hindavad kampaaniat ulatusliku luureandmete kogumise ja tööstusliku andmete lekkimise näitajaks. Praegused mõõtmised näitavad, et enam kui 111 000 IP-aadressi on endiselt haavatavad React2Shelli ärakasutamise suhtes, kusjuures suurim kontsentratsioon on Ameerika Ühendriikides, millele järgnevad Saksamaa, Prantsusmaa ja India. Kogutud telemeetria näitab lisaks, et sajad pahatahtlikud IP-aadressid sellistes piirkondades nagu USA, India, Ühendkuningriik, Singapur ja Holland on ühe 24-tunnise perioodi jooksul aktiivselt osalenud ärakasutamiskatsetes.
