פגיעות ב-React2Shell
חוקרי אבטחה אישרו כי הפגיעות הקריטית המכונה React2Shell מנוצלת לרעה באופן פעיל על ידי גורמי איום מרובים כדי לפגוע במערכות מבוססות לינוקס. הפגם מנוצל לפריסת מספר משפחות של תוכנות זדוניות, בעיקר KSwapDoor ו-ZnDoor, המאפשרות גישה עמוקה ומתמשכת לסביבות מושפעות. הניצול המתמשך מדגיש את המהירות שבה פגמים ביישומים בעלי השפעה גבוהה מתאפיינים לאחר גילוים.
תוכן העניינים
KSwapDoor: דלת אחורית לינוקס המתמקדת בהתגנבות
KSwapDoor הוא כלי גישה מרחוק שתוכנן בקפידה ונבנה כך שיישאר מוסתר למשך תקופות ארוכות. הוא מקים רשת פנימית המאפשרת לשרתים נגועים לתקשר זה עם זה, ועוזר לתוקפים לעקוף הגנות היקפיות ולשמור על חוסן אם צמתים בודדים נחסמים. תעבורת הרשת שלו מוגנת באמצעות הצפנה חזקה, מה שמקשה משמעותית על הבדיקה והזיהוי. אחת היכולות המדאיגות ביותר שלו היא מצב רדום או "שינה", המאפשר לתוכנה הזדונית להישאר לא פעילה עד שהיא מקבלת טריגר סמוי שמפעיל אותה מחדש, ובכך למעשה עוקפת את בקרות חומת האש.
חוקרים הבהירו כי KSwapDoor זוהה בעבר בטעות כ-BPFDoor. במציאות, מדובר בדלת אחורית של לינוקס התומכת בגישה אינטראקטיבית למעטפת, ביצוע פקודות שרירותיות, מניפולציה של קבצים וסריקה אחר הזדמנויות תנועה צידית. כדי להיטמע עוד יותר, הוא מתחזה ל-daemon לגיטימי של החלפת ליבת לינוקס, מה שמפחית את הסבירות לעורר חשד במהלך ניטור מערכת שגרתי.
קמפיינים של ZnDoor המכוונים לארגונים יפניים
במקביל, ארגונים ביפן היו יעד למתקפות המנצלות את React2Shell כדי לספק את ZnDoor. סוס טרויאני זה לגישה מרחוק נצפה בפעילות בעולם האמיתי לפחות מדצמבר 2023. חדירות אלו מתחילות בדרך כלל בפקודת bash פשוטה שמאחזרת את המטען משרת מרוחק בכתובת 45.76.155.14 באמצעות wget ולאחר מכן מבצעת אותו באופן מקומי.
לאחר ההתקנה, ZnDoor מתחבר חזרה לתשתית הנשלטת על ידי התוקף כדי לקבל הוראות ולפעול לפיהן. הפונקציונליות שלו רחבה ומאפשרת שליטה מלאה על המארח שנפרץ, כפי שמודגם על ידי קבוצת הפקודות הנתמכת להלן:
- shell ו-interactive_shell לביצוע פקודות ישיר וגישה אינטראקטיבית
- explorer, explorer_cat, explorer_delete, explorer_upload ו-explorer_download עבור פעולות קבצים וספריות
- מערכת לאיסוף מידע מארח
- change_timefile כדי לשנות חותמות זמן של קבצים
- socket_quick_startstreams כדי להפעיל פרוקסי SOCKS5
- start_in_port_forward ו- stop_in_port לניהול העברת פורטים
CVE-2025-55182 ופיתוח נשק רב-קבוצתי
הפעילות הרחבה יותר עולה בקנה אחד עם ניצול נרחב של CVE-2025-55182, פגיעות ב-React2Shell שהוקצתה לה ציון CVSS מקסימלי של 10.0. לפחות חמש קבוצות איומים הקשורות לסין נצפו כשהן משתמשות בפגם זה כדי להפיץ מגוון רחב של מטענים, כולל כלי מנהור, תוכנות הורדה ודלתות אחוריות מרובות של לינוקס. בין אלה היו MINOCAT, SNOWLIGHT, COMPOOD, גרסה מעודכנת של HISONIC שמשתלבת בתעבורה לגיטימית באמצעות Cloudflare Pages ו-GitLab, וגרסת לינוקס של ANGRYREBEL, המכונה גם Noodle RAT.
התעללות לאחר ניצול וגיוון מטען
לאחר ביצוע קוד ראשוני, תוקפים נוטים להריץ פקודות שרירותיות כדי להעמיק את אחיזתם. זה כולל הקמת shells reverse (היפוך מעטפת) לתשתית Cobalt Strike ידועה, פריסת כלי ניטור וניהול מרחוק כגון MeshAgent, שינוי קובץ authorized_keys והפעלה של כניסות ישירות ל-root. מטענים נוספים שנצפו במהלך פעולות אלו כוללים VShell, EtherRAT, ShadowPad, XMRig ופריסות חוזרות ונשנות של SNOWLIGHT.
כדי להימנע מגילוי, הקמפיינים מסתמכים לעתים קרובות על נקודות קצה של Cloudflare Tunnel תחת הדומיין trycloudflare.com, מה שמאפשר לתעבורת פקודה ובקרה להשתלב עם שירותים לגיטימיים. לאחר מכן מתבצע סיור נרחב כדי למפות את הסביבה, לתמוך בתנועה רוחבית ולזהות אישורים חשובים.
איסוף אישורי ענן וגילוי סודי
מוקד עיקרי של התקפות אלו הוא גניבת אישורים בסביבות ענן. גורמי איום נצפו מבצעים שאילתות על שירותי מטא-נתונים של מופעים עבור Azure, AWS, Google Cloud Platform ו-Tencent Cloud במאמץ להשיג אסימוני זהות ולהרחיב את הגישה אליהם. הם גם פורסים כלי סריקת סודות כגון TruffleHog ו-Gitleaks, לצד סקריפטים מותאמים אישית, כדי לחלץ חומר רגיש. זה כולל ניסיונות לגנוב אישורים של בינה מלאכותית ושל ענן כמו מפתחות API של OpenAI, אסימוני Databricks, סודות חשבון שירות של Kubernetes ואסימוני גישה שהושגו באמצעות כלי Azure CLI ו-Azure Developer CLI.
ניצול וחילוץ נתונים של Next.js
בקמפיין קשור, חוקרים תיעדו ניצול של מספר פגמים ב-Next.js, כולל CVE-2025-29927 ו-CVE-2025-66478, כאשר האחרון הוא מזהה מוקדם יותר לאותה בעיית React2Shell. התקפות אלו התמקדו בחילוץ שיטתי של קבצי תצורה, משתני סביבה, מפתחות SSH, אישורי ענן, נתוני אימות Git, היסטוריית פקודות מעטפת וקבצי מערכת רגישים כגון passwd ו-shadow. התוכנה הזדונית גם יוצרת נוכחות (persistence), מתקינה פרוקסי SOCKS5, פותחת מעטפת הפוכה ל-67.217.57.240 בפורט 888, ופורסת סורק React כדי לחפש באינטרנט מטרות פגיעות נוספות.
מבצע PCPcat: קנה מידה והשפעה
הפעילות המשולבת, שעוקבת תחת השם Operation PCPcat, כבר פגעה ככל הנראה ב-59,128 שרתים. אנליסטים מעריכים את הקמפיין כמעיד על איסוף מודיעין בקנה מידה גדול וחילוץ נתונים מתועשת. מדידות עדכניות מצביעות על כך שיותר מ-111,000 כתובות IP נותרו פגיעות לניצול React2Shell, כאשר הריכוז הגבוה ביותר נמצא בארצות הברית, ואחריה גרמניה, צרפת והודו. טלמטריה שנאספה מצביעה עוד על כך שמאות כתובות IP זדוניות באזורים כמו ארה"ב, הודו, בריטניה, סינגפור והולנד השתתפו באופן פעיל בניסיונות ניצול בתוך פרק זמן של 24 שעות.
