សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង ភាពងាយរងគ្រោះ ភាពងាយរងគ្រោះរបស់ React2Shell

ភាពងាយរងគ្រោះរបស់ React2Shell

ដោយ Mezo ក្នុង ភាពងាយរងគ្រោះ, ការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT), មេរោគ
បកប្រែទៅ៖

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានបញ្ជាក់ថា ភាពងាយរងគ្រោះដ៏សំខាន់ដែលគេស្គាល់ថាជា React2Shell កំពុងត្រូវបានរំលោភបំពានយ៉ាងសកម្មដោយអ្នកគំរាមកំហែងជាច្រើនដើម្បីសម្របសម្រួលប្រព័ន្ធដែលមានមូលដ្ឋានលើ Linux។ កំហុសនេះកំពុងត្រូវបានប្រើប្រាស់ដើម្បីដាក់ពង្រាយមេរោគជាច្រើន ជាពិសេស KSwapDoor និង ZnDoor ដែលអាចឱ្យមានការចូលប្រើយ៉ាងស៊ីជម្រៅ និងជាប់លាប់ទៅកាន់បរិស្ថានដែលរងផលប៉ះពាល់។ ការកេងប្រវ័ញ្ចដែលកំពុងបន្តបង្ហាញពីរបៀបដែលកំហុសកម្មវិធីដែលមានផលប៉ះពាល់ខ្ពស់ត្រូវបានដំណើរការយ៉ាងឆាប់រហ័សនៅពេលដែលត្រូវបានបង្ហាញ។

KSwapDoor៖ ទ្វារក្រោយលីនុចដែលផ្តោតលើការលួចលាក់

KSwapDoor គឺជាឧបករណ៍ចូលប្រើពីចម្ងាយដែលត្រូវបានរចនាយ៉ាងប្រុងប្រយ័ត្ន ដែលត្រូវបានសាងសង់ឡើងដើម្បីលាក់ទុកក្នុងរយៈពេលយូរ។ វាបង្កើតបណ្តាញសំណាញ់ខាងក្នុងដែលអនុញ្ញាតឱ្យម៉ាស៊ីនមេដែលឆ្លងមេរោគទាក់ទងគ្នាទៅវិញទៅមក ដោយជួយអ្នកវាយប្រហារឱ្យរំលងការការពារបរិវេណ និងរក្សាភាពធន់ប្រសិនបើណូតនីមួយៗត្រូវបានរារាំង។ ចរាចរណ៍បណ្តាញរបស់វាត្រូវបានការពារដោយការអ៊ិនគ្រីបដ៏រឹងមាំ ដែលធ្វើឱ្យការត្រួតពិនិត្យ និងការរកឃើញកាន់តែពិបាក។ សមត្ថភាពដ៏គួរឱ្យព្រួយបារម្ភបំផុតមួយរបស់វាគឺស្ថានភាពអសកម្ម ឬ 'ដេកលក់' ដែលអនុញ្ញាតឱ្យមេរោគនៅតែអសកម្មរហូតដល់វាទទួលបានគន្លឹះសម្ងាត់ដែលធ្វើឱ្យវាសកម្មឡើងវិញ ដោយរំលងការគ្រប់គ្រងជញ្ជាំងភ្លើងប្រកបដោយប្រសិទ្ធភាព។

ក្រុមអ្នកស្រាវជ្រាវបានបញ្ជាក់ថា KSwapDoor ពីមុនត្រូវបានគេកំណត់អត្តសញ្ញាណខុសថាជា BPFDoor។ តាមពិតទៅ វាគឺជា backdoor របស់ Linux ដែលគាំទ្រការចូលប្រើ shell អន្តរកម្ម ការប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្ត ការរៀបចំឯកសារ និងការស្កេនរកឱកាសចលនាចំហៀង។ ដើម្បីលាយបញ្ចូលគ្នាបន្ថែមទៀត វាក្លែងបន្លំជា daemon swap kernel Linux ស្របច្បាប់ ដែលកាត់បន្ថយលទ្ធភាពនៃការបង្កើនការសង្ស័យក្នុងអំឡុងពេលត្រួតពិនិត្យប្រព័ន្ធជាប្រចាំ។

យុទ្ធនាការ ZnDoor ដែលផ្តោតលើអង្គការជប៉ុន

ក្នុងពេលជាមួយគ្នានេះ អង្គការនានានៅក្នុងប្រទេសជប៉ុនត្រូវបានវាយប្រហារដោយការវាយប្រហារដែលកេងប្រវ័ញ្ច React2Shell ដើម្បីបញ្ជូន ZnDoor។ មេរោគ Trojan ចូលប្រើពីចម្ងាយនេះត្រូវបានគេសង្កេតឃើញនៅក្នុងសកម្មភាពពិភពពិតចាប់តាំងពីយ៉ាងហោចណាស់ខែធ្នូ ឆ្នាំ២០២៣។ ការឈ្លានពានទាំងនេះជាធម្មតាចាប់ផ្តើមដោយពាក្យបញ្ជា bash សាមញ្ញមួយដែលទាញយក payload ពីម៉ាស៊ីនមេពីចម្ងាយនៅ 45.76.155.14 ដោយប្រើ wget ហើយបន្ទាប់មកប្រតិបត្តិវានៅក្នុងស្រុក។

នៅពេលដំឡើងរួច ZnDoor នឹងភ្ជាប់ត្រឡប់ទៅហេដ្ឋារចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារវិញ ដើម្បីទទួលការណែនាំ និងធ្វើសកម្មភាពលើពួកវា។ មុខងាររបស់វាមានលក្ខណៈទូលំទូលាយ និងអាចឱ្យមានការគ្រប់គ្រងពេញលេញលើម៉ាស៊ីនដែលរងការសម្របសម្រួល ដូចដែលបានបង្ហាញដោយសំណុំពាក្យបញ្ជាដែលគាំទ្រខាងក្រោម៖

  • shell និង interactive_shell សម្រាប់ការប្រតិបត្តិពាក្យបញ្ជាដោយផ្ទាល់ និងការចូលប្រើអន្តរកម្ម
  • explorer, explorer_cat, explorer_delete, explorer_upload និង explorer_download សម្រាប់ប្រតិបត្តិការឯកសារ និងថតឯកសារ
  • ប្រព័ន្ធសម្រាប់ប្រមូលព័ត៌មានម៉ាស៊ីនភ្ញៀវ
  • change_timefile ដើម្បីផ្លាស់ប្តូរត្រាពេលវេលាឯកសារ
  • socket_quick_startstreams ដើម្បីបើកដំណើរការប្រូកស៊ី SOCKS5
  • start_in_port_forward និង stop_in_port ដើម្បីគ្រប់គ្រងការបញ្ជូនបន្តច្រក

CVE-2025-55182 និងការប្រើប្រាស់អាវុធពហុក្រុម

សកម្មភាពទូលំទូលាយនេះ ស្របគ្នាជាមួយនឹងការកេងប្រវ័ញ្ចយ៉ាងទូលំទូលាយនៃ CVE-2025-55182 ដែលជាចំណុចខ្សោយ React2Shell ដែលបានផ្តល់ពិន្ទុ CVSS អតិបរមា 10.0។ យ៉ាងហោចណាស់មានក្រុមគំរាមកំហែងដែលមានសម្ព័ន្ធភាពជាមួយប្រទេសចិនចំនួនប្រាំត្រូវបានគេសង្កេតឃើញកំពុងប្រើប្រាស់ចំណុចខ្សោយនេះដើម្បីចែកចាយបន្ទុកជាច្រើនប្រភេទ រួមទាំងឧបករណ៍ tunneling កម្មវិធីទាញយក និង backdoor Linux ជាច្រើន។ ក្នុងចំណោមទាំងនេះរួមមាន MINOCAT, SNOWLIGHT, COMPOOD ដែលជាបំរែបំរួល HISONIC ដែលបានធ្វើបច្ចុប្បន្នភាព ដែលលាយបញ្ចូលគ្នាទៅក្នុងចរាចរណ៍ស្របច្បាប់ដោយប្រើ Cloudflare Pages និង GitLab និងកំណែ Linux របស់ ANGRYREBEL ដែលត្រូវបានគេស្គាល់ផងដែរថាជា Noodle RAT។

ការរំលោភបំពានក្រោយការកេងប្រវ័ញ្ច និងភាពចម្រុះនៃបន្ទុកការងារ

បន្ទាប់ពីទទួលបានការប្រតិបត្តិកូដដំបូង អ្នកវាយប្រហារជាទូទៅដំណើរការពាក្យបញ្ជាតាមអំពើចិត្តដើម្បីបង្កើនភាពរឹងមាំរបស់ពួកគេ។ នេះរួមបញ្ចូលទាំងការបង្កើត reverse shells ទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធ Cobalt Strike ដែលគេស្គាល់ ការដាក់ពង្រាយឧបករណ៍ត្រួតពិនិត្យ និងគ្រប់គ្រងពីចម្ងាយដូចជា MeshAgent ការផ្លាស់ប្តូរឯកសារ authorized_keys និងការបើកដំណើរការការចូល root ដោយផ្ទាល់។ payloads បន្ថែមដែលត្រូវបានគេមើលឃើញក្នុងអំឡុងពេលប្រតិបត្តិការទាំងនេះរួមមាន VShell, EtherRAT, ShadowPad, XMRig និងការដាក់ពង្រាយ SNOWLIGHT ម្តងហើយម្តងទៀត។

ដើម្បីគេចពីការរកឃើញ យុទ្ធនាការទាំងនេះច្រើនតែពឹងផ្អែកលើចំណុចបញ្ចប់ Cloudflare Tunnel ក្រោមដែន trycloudflare.com ដែលអនុញ្ញាតឱ្យចរាចរណ៍បញ្ជា និងគ្រប់គ្រងលាយឡំជាមួយសេវាកម្មស្របច្បាប់។ បន្ទាប់មក ការឈ្លបយកការណ៍យ៉ាងទូលំទូលាយត្រូវបានអនុវត្តដើម្បីគូសផែនទីបរិស្ថាន គាំទ្រចលនាចំហៀង និងកំណត់អត្តសញ្ញាណព័ត៌មានសម្ងាត់ដ៏មានតម្លៃ។

ការប្រមូលផលព័ត៌មានសម្ងាត់លើ Cloud និងការរកឃើញសម្ងាត់

ការផ្តោតសំខាន់នៃការវាយប្រហារទាំងនេះគឺការលួចព័ត៌មានសម្ងាត់នៅក្នុងបរិស្ថានពពក។ ភ្នាក់ងារគំរាមកំហែងត្រូវបានគេសង្កេតឃើញសាកសួរសេវាកម្មទិន្នន័យមេតាឧទាហរណ៍សម្រាប់ Azure, AWS, Google Cloud Platform និង Tencent Cloud ក្នុងកិច្ចខិតខំប្រឹងប្រែងដើម្បីទទួលបានសញ្ញាសម្គាល់អត្តសញ្ញាណ និងពង្រីកការចូលប្រើរបស់ពួកគេ។ ពួកគេក៏ដាក់ពង្រាយឧបករណ៍ស្កេនសម្ងាត់ដូចជា TruffleHog និង Gitleaks រួមជាមួយនឹងស្គ្រីបផ្ទាល់ខ្លួន ដើម្បីទាញយកសម្ភារៈរសើប។ នេះរួមបញ្ចូលទាំងការប៉ុនប៉ងលួចព័ត៌មានសម្ងាត់ AI និងព័ត៌មានសម្ងាត់ដើមពពកដូចជាកូនសោ OpenAI API, សញ្ញាសម្គាល់ Databricks, អាថ៌កំបាំងគណនីសេវាកម្ម Kubernetes និងសញ្ញាសម្គាល់ចូលប្រើដែលទទួលបានតាមរយៈ Azure CLI និងឧបករណ៍ Azure Developer CLI។

ការកេងប្រវ័ញ្ច Next.js និងការលួចយកទិន្នន័យ

នៅក្នុងយុទ្ធនាការពាក់ព័ន្ធមួយ អ្នកស្រាវជ្រាវបានចងក្រងឯកសារអំពីការកេងប្រវ័ញ្ចចំណុចខ្វះខាតជាច្រើនរបស់ Next.js រួមទាំង CVE-2025-29927 និង CVE-2025-66478 ដែលក្រោយមកទៀតគឺជាឧបករណ៍កំណត់អត្តសញ្ញាណមុនសម្រាប់បញ្ហា React2Shell ដូចគ្នា។ ការវាយប្រហារទាំងនេះផ្តោតលើការទាញយកឯកសារកំណត់រចនាសម្ព័ន្ធ អថេរបរិស្ថាន កូនសោ SSH លិខិតសម្គាល់ cloud ទិន្នន័យផ្ទៀងផ្ទាត់ Git ប្រវត្តិពាក្យបញ្ជា shell និងឯកសារប្រព័ន្ធរសើបដូចជា passwd និង shadow ជាប្រព័ន្ធ។ មេរោគក៏បង្កើតភាពស្ថិតស្ថេរ ដំឡើងប្រូកស៊ី SOCKS5 បើក reverse shell ទៅ 67.217.57.240 នៅលើច្រក 888 និងដាក់ពង្រាយម៉ាស៊ីនស្កេន React ដើម្បីស្វែងរកគោលដៅងាយរងគ្រោះបន្ថែមនៅលើអ៊ីនធឺណិត។

ប្រតិបត្តិការ PCPcat៖ មាត្រដ្ឋាន និងផលប៉ះពាល់

សកម្មភាពរួមបញ្ចូលគ្នា ដែលត្រូវបានតាមដានក្រោមឈ្មោះ Operation PCPcat ត្រូវបានគេជឿថាបានធ្វើឱ្យខូចម៉ាស៊ីនមេចំនួន 59,128 រួចហើយ។ អ្នកវិភាគវាយតម្លៃយុទ្ធនាការនេះថាជាការចង្អុលបង្ហាញពីការប្រមូលព័ត៌មានស៊ើបការណ៍សម្ងាត់ទ្រង់ទ្រាយធំ និងការលួចទិន្នន័យឧស្សាហកម្ម។ ការវាស់វែងបច្ចុប្បន្នបង្ហាញថា អាសយដ្ឋាន IP ជាង 111,000 នៅតែងាយរងគ្រោះដោយសារការកេងប្រវ័ញ្ច React2Shell ដោយមានកំហាប់ខ្ពស់បំផុតនៅសហរដ្ឋអាមេរិក បន្ទាប់មកគឺអាល្លឺម៉ង់ បារាំង និងឥណ្ឌា។ ទូរមាត្រដែលប្រមូលបានបន្ថែមទៀតបង្ហាញថា អាសយដ្ឋាន IP រាប់រយដែលមានគំនិតអាក្រក់នៅទូទាំងតំបន់ដូចជាសហរដ្ឋអាមេរិក ឥណ្ឌា ចក្រភពអង់គ្លេស សិង្ហបុរី និងហូឡង់បានចូលរួមយ៉ាងសកម្មក្នុងការប៉ុនប៉ងកេងប្រវ័ញ្ចក្នុងរយៈពេល 24 ម៉ោងតែមួយ។

និន្នាការ

Webmotion.co.in

គេហទំព័រក្លែងក្លាយ, Adware, ចោរប្លន់កម្មវិធីរុករក
ការប្រុងប្រយ័ត្នជានិច្ចពេលកំពុងរុករកគេហទំព័រគឺមានសារៈសំខាន់ ខណៈដែលគេហទំព័របោកប្រាស់ និងគម្រោងផ្សាយពាណិជ្ជកម្មដ៏ខ្លាំងក្លាបន្តវិវត្ត។ ជនគំរាមកំហែងបង្កើតទំព័រជាប្រចាំដែលធ្វើត្រាប់តាមមុខងារស្របច្បាប់...

មេរោគ EtherRAT

ឧបករណ៍គ្រប់គ្រងពីចម្ងាយ, ការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT)
យុទ្ធនាការគំរាមកំហែងដែលទើបរកឃើញថ្មីៗនេះ ដែលភ្ជាប់ទៅនឹងប្រតិបត្តិករកូរ៉េខាងជើង ត្រូវបានគេជឿថាកំពុងកេងប្រវ័ញ្ចភាពងាយរងគ្រោះដ៏សំខាន់របស់ React2Shell (RSC) ដើម្បីដាក់ពង្រាយមេរោគ Trojan...

ឧបករណ៍ប្រើប្រាស់ Qiaoxp Kramv

កម្មវិធីដែលមិនចង់បានសក្តានុពល, Adware, ចោរប្លន់កម្មវិធីរុករក
ការការពារឧបករណ៍របស់អ្នកប្រឆាំងនឹងកម្មវិធីដែលមិនចង់បានសក្តានុពល (PUPs) ដែលរំខាន និងមិនអាចទុកចិត្តបានគឺមានសារៈសំខាន់ណាស់។ PUPs ទោះបីជាមិនតែងតែត្រូវបានចាត់ថ្នាក់ថាជាមេរោគទាំងស្រុងក៏ដោយ...

មើលច្រើនបំផុត

មេរោគ

ការបន្លំ, សារឥតបានការ
30,370
សារបោកប្រាស់ 'Apple Pay Suspended' គឺជាប្រភេទនៃល្បិចបន្លំដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ Apple Pay ។ សារនេះបានអះអាងថាកាបូប Apple Pay របស់អ្នកប្រើប្រាស់ត្រូវបានផ្អាក និងជំរុញឱ្យពួកគេចុចតំណដើម្បីស្ដារវាឡើងវិញ។ ទោះជាយ៉ាងណាក៏ដោយ ការចុចលើតំណភ្ជាប់នឹងនាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រក្លែងក្លាយដែលត្រូវបានរចនាឡើងដើម្បីលួចព័ត៌មានផ្ទាល់ខ្លួន និងហិរញ្ញវត្ថុរបស់ពួកគេ។...

Fuq.com

កម្មវិធីប្រឆាំង Spyware Rogue, មេរោគ Mac
23,655
Fuq.com គឺជាកម្មវិធីប្រភេទ Adware ដែលផ្សព្វផ្សាយគេហទំព័រដែលមានខ្លឹមសារអាសអាភាស។ យុទ្ធនាការផ្សាយពាណិជ្ជកម្មនៃកម្មវិធីដែលមិនចង់បានសក្តានុពល (PUP) នេះគឺឈ្លានពានខ្លាំងណាស់។...
កំពុង​ផ្ទុក...