Ponuda s popustom na više licenci
Baza prijetnji Ranjivost Ranjivost React2Shella

Ranjivost React2Shella

Do Mezo. Ranjivost, Napredna trajna prijetnja (APT), Malware. godine
Prevedi na:

Sigurnosni istraživači potvrdili su da kritičnu ranjivost poznatu kao React2Shell aktivno zloupotrebljavaju brojni akteri prijetnji kako bi ugrozili Linux sustave. Propust se koristi za implementaciju nekoliko obitelji zlonamjernog softvera, a najznačajniji su KSwapDoor i ZnDoor, omogućujući dubok i trajan pristup pogođenim okruženjima. Kontinuirano iskorištavanje naglašava koliko se brzo operativno aktiviraju propusti u aplikacijama s velikim utjecajem nakon što se otkriju.

KSwapDoor: Prikriveni Linux backdoor

KSwapDoor je pažljivo osmišljen alat za daljinski pristup izgrađen da ostane skriven dulje vrijeme. Uspostavlja internu mesh mrežu koja omogućuje zaraženim poslužiteljima međusobnu komunikaciju, pomažući napadačima da zaobiđu obranu perimetra i održe otpornost ako su pojedinačni čvorovi blokirani. Njegov mrežni promet zaštićen je snažnom enkripcijom, što znatno otežava inspekciju i otkrivanje. Jedna od njegovih najzabrinjavajućih mogućnosti je stanje mirovanja ili 'spavanja', koje omogućuje zlonamjernom softveru da ostane neaktivan dok ne primi prikriveni okidač koji ga ponovno aktivira, učinkovito zaobilazeći kontrole vatrozida.

Istraživači su pojasnili da je KSwapDoor prethodno bio pogrešno identificiran kao BPFDoor. U stvarnosti, to je Linux backdoor koji podržava interaktivni pristup ljusci, proizvoljno izvršavanje naredbi, manipulaciju datotekama i skeniranje mogućnosti lateralnog kretanja. Kako bi se dodatno uklopio, maskira se kao legitimni Linux kernel swap daemon, smanjujući vjerojatnost izazivanja sumnje tijekom rutinskog praćenja sustava.

ZnDoor kampanje usmjerene na japanske organizacije

Paralelno s tim, organizacije u Japanu bile su meta napada koji iskorištavaju React2Shell za isporuku ZnDoor-a. Ovaj trojanac za udaljeni pristup uočen je u stvarnom svijetu barem od prosinca 2023. Ovi upadi obično počinju jednostavnom bash naredbom koja dohvaća podatke s udaljenog poslužitelja na 45.76.155.14 pomoću wgeta, a zatim ih izvršava lokalno.

Nakon instalacije, ZnDoor se ponovno povezuje s infrastrukturom koju kontrolira napadač kako bi primao upute i djelovao na temelju njih. Njegova funkcionalnost je široka i omogućuje potpunu kontrolu nad kompromitiranim hostom, kao što je ilustrirano podržanim skupom naredbi u nastavku:

  • shell i interactive_shell za izravno izvršavanje naredbi i interaktivni pristup
  • explorer, explorer_cat, explorer_delete, explorer_upload i explorer_download za operacije s datotekama i direktorijima
  • sustav za prikupljanje informacija o hostu
  • change_timefile za promjenu vremenskih oznaka datoteke
  • socket_quick_startstreams za pokretanje SOCKS5 proxyja
  • start_in_port_forward i stop_in_port za upravljanje prosljeđivanjem portova

CVE-2025-55182 i naoružanje više grupa

Šira aktivnost podudara se s raširenim iskorištavanjem CVE-2025-55182, ranjivosti React2Shella kojoj je dodijeljen maksimalni CVSS rezultat od 10,0. Uočeno je najmanje pet prijetnji povezanih s Kinom koje koriste ovu ranjivost kao oružje za distribuciju raznolikih korisnih sadržaja, uključujući alate za tuneliranje, programe za preuzimanje i višestruke Linux backdoore-ove. Među njima su bili MINOCAT, SNOWLIGHT, COMPOOD, ažurirana varijanta HISONIC-a koja se stapa s legitimnim prometom pomoću Cloudflare Pages i GitLaba, te Linux verzija ANGRYREBEL-a, poznata i kao Noodle RAT.

Zloupotreba nakon iskorištavanja i raznolikost korisnog tereta

Nakon što su dobili početno izvršenje koda, napadači obično pokreću proizvoljne naredbe kako bi produbili svoje uporište. To uključuje uspostavljanje obrnutih ljuski na poznatu infrastrukturu Cobalt Strikea, implementaciju alata za daljinsko praćenje i upravljanje kao što je MeshAgent, mijenjanje datoteke authorized_keys i omogućavanje izravne prijave root-a. Dodatni korisni sadržaji koji se vide tijekom ovih operacija uključuju VShell, EtherRAT, ShadowPad, XMRig i ponovljena implementacija SNOWLIGHT-a.

Kako bi izbjegle otkrivanje, kampanje se često oslanjaju na krajnje točke Cloudflare tunela pod domenom trycloudflare.com, omogućujući prometu za upravljanje i kontrolu da se stopi s legitimnim uslugama. Zatim se provodi opsežno izviđanje kako bi se mapiralo okruženje, podržalo lateralno kretanje i identificirali vrijedni podaci.

Prikupljanje vjerodajnica u oblaku i otkrivanje tajnih podataka

Glavni fokus ovih napada je krađa vjerodajnica unutar okruženja u oblaku. Primijećeno je da akteri prijetnji pretražuju usluge metapodataka instanci za Azure, AWS, Google Cloud Platform i Tencent Cloud u nastojanju da dobiju tokene identiteta i prošire svoj pristup. Također koriste alate za skeniranje tajni kao što su TruffleHog i Gitleaks, uz prilagođene skripte, kako bi izdvojili osjetljivi materijal. To uključuje pokušaje krađe vjerodajnica umjetne inteligencije i vjerodajnica izvornih u oblaku poput OpenAI API ključeva, Databricks tokena, tajni Kubernetes servisnih računa i tokena za pristup dobivenih putem Azure CLI-ja i Azure Developer CLI alata.

Iskorištavanje Next.js-a i izvlačenje podataka

U povezanoj kampanji, istraživači su dokumentirali iskorištavanje višestrukih nedostataka Next.js-a, uključujući CVE-2025-29927 i CVE-2025-66478, pri čemu je potonji raniji identifikator za isti problem React2Shell. Ovi napadi usredotočili su se na sustavno izdvajanje konfiguracijskih datoteka, varijabli okruženja, SSH ključeva, vjerodajnica za oblak, podataka za autentifikaciju Gita, povijesti naredbi ljuske i osjetljivih sistemskih datoteka kao što su passwd i shadow. Zlonamjerni softver također uspostavlja perzistenciju, instalira SOCKS5 proxy, otvara obrnutu ljusku na 67.217.57.240 na portu 888 i raspoređuje React skener za pretraživanje interneta za dodatne ranjive ciljeve.

Operacija PCPcat: Razmjeri i utjecaj

Vjeruje se da je kombinirana aktivnost, praćena pod nazivom Operacija PCPcat, već kompromitirala 59.128 poslužitelja. Analitičari procjenjuju kampanju kao pokazatelj prikupljanja obavještajnih podataka velikih razmjera i industrijaliziranog izbacivanja podataka. Trenutna mjerenja sugeriraju da je više od 111.000 IP adresa i dalje ranjivo na iskorištavanje React2Shella, s najvećom koncentracijom u Sjedinjenim Državama, a slijede Njemačka, Francuska i Indija. Prikupljena telemetrija dodatno ukazuje na to da su stotine zlonamjernih IP adresa u regijama poput SAD-a, Indije, Ujedinjenog Kraljevstva, Singapura i Nizozemske aktivno sudjelovale u pokušajima iskorištavanja unutar jednog 24-satnog razdoblja.

U trendu

Nagledanije

Učitavam...