React2Shell-haavoittuvuus
Tietoturvatutkijat ovat vahvistaneet, että useat uhkatoimijat käyttävät aktiivisesti hyväkseen kriittistä haavoittuvuutta nimeltä React2Shell vaarantaakseen Linux-pohjaisia järjestelmiä. Haavoittuvuutta hyödynnetään useiden haittaohjelmaperheiden, erityisesti KSwapDoorin ja ZnDoorin, käyttöönotossa, mikä mahdollistaa syvällisen ja pysyvän pääsyn haavoittuvuuksiin. Jatkuva hyväksikäyttö osoittaa, kuinka nopeasti merkittävät sovellushaavoittuvuudet otetaan käyttöön paljastumisen jälkeen.
Sisällysluettelo
KSwapDoor: Hiiviskelyyn keskittyvä Linux-takaovi
KSwapDoor on huolellisesti suunniteltu etäkäyttötyökalu, joka on rakennettu pysymään piilossa pitkiä aikoja. Se muodostaa sisäisen verkkorakenteen, jonka avulla tartunnan saaneet palvelimet voivat kommunikoida keskenään, auttaen hyökkääjiä ohittamaan kehäpuolustukset ja ylläpitämään sietokykyä, jos yksittäiset solmut estetään. Sen verkkoliikenne on suojattu vahvalla salauksella, mikä tekee tarkastamisesta ja havaitsemisesta huomattavasti vaikeampaa. Yksi sen huolestuttavimmista ominaisuuksista on lepotila, jossa haittaohjelma pysyy passiivisena, kunnes se saa salaisen laukaisimen, joka aktivoi sen uudelleen ohittaen tehokkaasti palomuurin hallintalaitteet.
Tutkijat selvensivät, että KSwapDoor oli aiemmin virheellisesti tunnistettu BPFDooriksi. Todellisuudessa se on Linuxin takaovi, joka tukee interaktiivista shell-käyttöä, mielivaltaista komentojen suorittamista, tiedostojen käsittelyä ja sivuttaissiirtomahdollisuuksien etsimistä. Se naamioituu entisestään lailliseksi Linux-ytimen swap-daemoniksi, mikä vähentää epäilysten herättämisen todennäköisyyttä rutiininomaisen järjestelmän valvonnan aikana.
ZnDoor-kampanjat kohdistuvat japanilaisiin organisaatioihin
Samaan aikaan japanilaisiin organisaatioihin on kohdistettu hyökkäyksiä, jotka hyödyntävät React2Shelliä ZnDoorin toimittamiseen. Tätä etäkäyttötroijalaista on havaittu tosielämän toiminnassa ainakin joulukuusta 2023 lähtien. Nämä tunkeutumiset alkavat tyypillisesti yksinkertaisella bash-komennolla, joka hakee hyötykuorman etäpalvelimelta osoitteesta 45.76.155.14 käyttämällä wget-komentoa ja suorittaa sen sitten paikallisesti.
Asennuksen jälkeen ZnDoor muodostaa yhteyden takaisin hyökkääjän hallitsemaan infrastruktuuriin vastaanottaakseen ohjeita ja toimiakseen niiden mukaisesti. Sen toiminnallisuus on laaja ja mahdollistaa täyden hallinnan vaarantuneeseen isäntään, kuten alla oleva tuettu komentosarja havainnollistaa:
- shell ja interactive_shell suoraa komentojen suorittamista ja interaktiivista käyttöä varten
- explorer, explorer_cat, explorer_delete, explorer_upload ja explorer_download tiedosto- ja hakemistotoimintoja varten
- järjestelmä isäntätietojen keräämiseen
- change_timefile muuttaa tiedostojen aikaleimoja
- socket_quick_startstreams käynnistää SOCKS5-välityspalvelimen
- start_in_port_forward ja stop_in_port porttiohjauksen hallintaan
CVE-2025-55182 ja moniryhmäaseistuminen
Laajempi toiminta osuu yksiin CVE-2025-55182-haavoittuvuuden laajan hyödyntämisen kanssa. Kyseessä on React2Shell-haavoittuvuus, jolle on annettu enintään 10,0 CVSS-pistettä. Ainakin viiden Kiina-liittoutuneen uhkaryhmän on havaittu käyttävän tätä haavoittuvuutta aseena levittääkseen erilaisia hyötykuormia, mukaan lukien tunnelointityökaluja, latausohjelmia ja useita Linux-takaportteja. Näihin kuuluivat MINOCAT, SNOWLIGHT, COMPOOD, päivitetty HISONIC-variantti, joka sulautuu lailliseen liikenteeseen Cloudflare Pagesin ja GitLabin avulla, sekä ANGRYREBELin Linux-versio, joka tunnetaan myös nimellä Noodle RAT.
Hyväksikäytön jälkeinen hyväksikäyttö ja hyötykuorman monimuotoisuus
Saatuaan alkuvaiheen koodin suorituspisteet hyökkääjät suorittavat yleensä mielivaltaisia komentoja syventääkseen jalansijaansa. Näihin kuuluvat käänteisten komentotulkkien luominen tunnettuun Cobalt Strike -infrastruktuuriin, etävalvonta- ja hallintatyökalujen, kuten MeshAgentin, käyttöönotto, authorized_keys-tiedoston muuttaminen ja suorien pääkäyttäjän kirjautumisten mahdollistaminen. Näiden operaatioiden aikana havaittuja lisähyötykuormia ovat VShell, EtherRAT, ShadowPad, XMRig ja SNOWLIGHTin toistuvat käyttöönotot.
Välttääkseen havaitsemisen kampanjat käyttävät usein trycloudflare.com-verkkotunnuksen alla olevia Cloudflare Tunnel -päätepisteitä, jolloin komento- ja ohjausliikenne yhdistyy laillisiin palveluihin. Tämän jälkeen suoritetaan laaja tiedustelu ympäristön kartoittamiseksi, sivuttaisliikkeen tukemiseksi ja arvokkaiden tunnistetietojen tunnistamiseksi.
Pilvipohjainen tunnistetietojen keruu ja salaisten tietojen etsintä
Näiden hyökkäysten pääkohde on tunnistetietojen varastamine pilviympäristöissä. Uhkatoimijoiden on havaittu tekevän kyselyitä Azuren, AWS:n, Google Cloud Platformin ja Tencent Cloudin instanssien metatietopalveluista pyrkimyksenään hankkia identiteettitunnuksia ja laajentaa käyttöoikeuksiaan. He käyttävät myös salaisuuksien skannaustyökaluja, kuten TruffleHogia ja Gitleaksia, sekä mukautettuja skriptejä arkaluonteisen materiaalin poimimiseksi. Tähän sisältyy yrityksiä varastaa tekoäly- ja pilvinatiiveja tunnistetietoja, kuten OpenAI-API-avaimia, Databricks-tunnuksia, Kubernetes-palvelutilin salaisuuksia ja Azure CLI:n ja Azure Developer CLI -työkalujen kautta hankittuja käyttöoikeustunnuksia.
Next.js:n hyödyntäminen ja datan vuotaminen
Aiheeseen liittyvässä kampanjassa tutkijat dokumentoivat useiden Next.js-haavoittuvuuksien hyväksikäyttöä, mukaan lukien CVE-2025-29927 ja CVE-2025-66478, joista jälkimmäinen oli aiempi tunniste samalle React2Shell-ongelmalle. Nämä hyökkäykset keskittyivät systemaattisesti määritystiedostojen, ympäristömuuttujien, SSH-avainten, pilvitunnistetietojen, Git-todennustietojen, shell-komentohistorian ja arkaluontoisten järjestelmätiedostojen, kuten passwd- ja shadow-tiedostojen, purkamiseen. Haittaohjelma myös muodostaa pysyvyyden, asentaa SOCKS5-välityspalvelimen, avaa käänteisen shell-yhteyden osoitteeseen 67.217.57.240 porttiin 888 ja käyttää React-skanneria etsiäkseen internetistä lisää haavoittuvia kohteita.
Operaatio PCPcat: Laajuus ja vaikutus
Yhdistetty toiminta, jota seurataan nimellä Operation PCPcat, uskotaan jo vaarantaneen 59 128 palvelinta. Analyytikot arvioivat kampanjan viittaavan laajamittaiseen tiedustelutietojen keräämiseen ja teollistuneeseen tiedon vuotamiseen. Nykyiset mittaukset viittaavat siihen, että yli 111 000 IP-osoitetta on edelleen alttiita React2Shell-hyökkäyksille, ja suurin keskittymä on Yhdysvalloissa, jota seuraavat Saksa, Ranska ja Intia. Kerätyt telemetriatiedot osoittavat edelleen, että sadat haitalliset IP-osoitteet eri alueilla, kuten Yhdysvalloissa, Intiassa, Isossa-Britanniassa, Singaporessa ja Alankomaissa, ovat osallistuneet aktiivisesti hyväksikäyttöyrityksiin yhden 24 tunnin aikana.
