Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Pažeidžiamumas „React2Shell“ pažeidžiamumas

„React2Shell“ pažeidžiamumas

Autorius Mezo, Pažeidžiamumas, Išplėstinė nuolatinė grėsmė (APT), Kenkėjiška programa
Versti į:

Saugumo tyrėjai patvirtino, kad kritinę pažeidžiamumą, žinomą kaip „React2Shell“, aktyviai piktnaudžiauja daugybė kenkėjiškų veikėjų, siekdami įsilaužti į „Linux“ pagrindu veikiančias sistemas. Ši spraga naudojama diegiant kelias kenkėjiškų programų šeimas, ypač „KSwapDoor“ ir „ZnDoor“, kurios suteikia gilią ir nuolatinę prieigą prie paveiktų aplinkų. Nuolatinis šios spragos išnaudojimas rodo, kaip greitai didelės įtakos programų spragos yra pritaikomos, kai tik jos atskleidžiamos.

KSwapDoor: slaptoms operacijoms skirta „Linux“ galinė durų sistema

„KSwapDoor“ yra kruopščiai sukurta nuotolinės prieigos priemonė, sukurta taip, kad ilgą laiką išliktų paslėpta. Ji sukuria vidinį tinklą, leidžiantį užkrėstiems serveriams bendrauti tarpusavyje, padėdama užpuolikams apeiti perimetro apsaugą ir išlaikyti atsparumą, jei atskiri mazgai užblokuojami. Jos tinklo srautas yra apsaugotas stipriu šifravimu, todėl patikrinimą ir aptikimą gerokai apsunkina. Viena iš labiausiai nerimą keliančių jos funkcijų yra neveikli arba „miego“ būsena, leidžianti kenkėjiškai programai išlikti neaktyviai, kol ji gauna slaptą veiksmą, kuris ją vėl suaktyvina, efektyviai apeidamas užkardos valdiklius.

Tyrėjai išaiškino, kad „KSwapDoor“ anksčiau buvo klaidingai identifikuota kaip „BPFDoor“. Iš tikrųjų tai yra „Linux“ galinės durys, palaikančios interaktyvią prieigą prie apvalkalo, savavališką komandų vykdymą, failų manipuliavimą ir šoninio judėjimo galimybių nuskaitymą. Kad dar labiau įsilietų į aplinką, ji maskuojama kaip teisėtas „Linux“ branduolio apsikeitimo demonas, taip sumažinant įtarimų tikimybę įprastos sistemos stebėsenos metu.

„ZnDoor“ kampanijos, skirtos Japonijos organizacijoms

Tuo pačiu metu organizacijos Japonijoje tapo atakų taikiniais, kurios išnaudoja „React2Shell“, kad pateiktų „ZnDoor“. Šis nuotolinės prieigos Trojos arklys realiame pasaulyje stebimas mažiausiai nuo 2023 m. gruodžio mėn. Šie įsilaužimai paprastai prasideda paprasta „bash“ komanda, kuri nuskaito naudingąją apkrovą iš nuotolinio serverio, esančio adresu 45.76.155.14, naudodama „wget“, ir tada vykdo ją lokaliai.

Įdiegus „ZnDoor“, sistema prisijungia prie užpuoliko kontroliuojamos infrastruktūros, kad gautų instrukcijas ir pagal jas veiktų. Jos funkcijos yra plačios ir leidžia visiškai valdyti pažeistą kompiuterį, kaip parodyta toliau pateiktame palaikomų komandų rinkinyje:

  • „shell“ ir „interactive_shell“ tiesioginiam komandų vykdymui ir interaktyviai prieigai
  • „explorer“, „explorer_cat“, „explorer_delete“, „explorer_upload“ ir „explorer_download“ failų ir katalogų operacijoms
  • sistema, skirta rinkti informaciją apie priimančiąją įmonę
  • change_timefile, kad pakeistumėte failų laiko žymas
  • socket_quick_startstreams, kad paleistų SOCKS5 tarpinį serverį
  • start_in_port_forward ir stop_in_port, kad valdytumėte prievadų peradresavimą

CVE-2025-55182 ir daugiagrupis ginklavimas

Platesnė veikla sutampa su plačiai paplitusiu CVE-2025-55182, „React2Shell“ pažeidžiamumo, kuriam priskirtas maksimalus CVSS balas 10,0, išnaudojimu. Pastebėta, kad mažiausiai penkios su Kinija susijusios grėsmių grupuotės panaudojo šį ginklą įvairiems naudingiesiems krūviams platinti, įskaitant tuneliavimo įrankius, atsisiuntimo programas ir kelias „Linux“ galines duris. Tarp jų buvo MINOCAT, SNOWLIGHT, COMPOOD – atnaujintas HISONIC variantas, kuris susilieja su teisėtu srautu naudodamas „Cloudflare Pages“ ir „GitLab“, ir „ANGRYREBEL“ Linux versija, dar žinoma kaip „Noodle RAT“.

Piktnaudžiavimas po išnaudojimo ir naudingojo darbo įvairovė

Gavęs pradinį kodo vykdymą, užpuolikai dažniausiai vykdo savavališkas komandas, kad sustiprintų savo pozicijas. Tai apima atvirkštinių apvalkalų, skirtų žinomai „Cobalt Strike“ infrastruktūrai, kūrimą, nuotolinio stebėjimo ir valdymo įrankių, tokių kaip „MeshAgent“, diegimą, failo authorized_keys keitimą ir tiesioginio root prisijungimo įgalinimą. Papildomi šių operacijų metu pastebimi naudingieji krūviai yra „VShell“, „EtherRAT“, „ShadowPad“, „XMRig“ ir pakartotiniai SNOWLIGHT diegimai.

Siekdamos išvengti aptikimo, kampanijos dažnai naudoja „Cloudflare Tunnel“ galinius taškus, esančius trycloudflare.com domene, leisdamos komandų ir valdymo srautui susilieti su teisėtomis paslaugomis. Tada atliekama išsami žvalgyba, siekiant sudaryti aplinkos žemėlapį, palaikyti horizontalią judėjimą ir nustatyti vertingus prisijungimo duomenis.

Debesijos kredencialų rinkimas ir slaptų duomenų atradimas

Pagrindinis šių atakų tikslas – kredencialų vagystė debesijos aplinkose. Pastebėta, kad grėsmės skleidėjai atlieka užklausas „Azure“, AWS, „Google Cloud Platform“ ir „Tencent Cloud“ egzempliorių metaduomenų paslaugoms, siekdami gauti tapatybės žetonus ir išplėsti savo prieigą. Jie taip pat naudoja slapto nuskaitymo įrankius, tokius kaip „TruffleHog“ ir „Gitleaks“, kartu su pasirinktiniais scenarijais, kad išgautų neskelbtiną medžiagą. Tai apima bandymus pavogti dirbtinio intelekto ir debesijos kredencialus, tokius kaip „OpenAI“ API raktai, „Databricks“ žetonai, „Kubernetes“ paslaugų paskyros slapti kodai ir prieigos žetonai, gauti naudojant „Azure CLI“ ir „Azure Developer CLI“ įrankius.

Next.js išnaudojimas ir duomenų išgavimas

Susijusios kampanijos metu tyrėjai dokumentavo kelių „Next.js“ spragų, įskaitant CVE-2025-29927 ir CVE-2025-66478, išnaudojimą. Pastarasis buvo ankstesnis tos pačios „React2Shell“ problemos identifikatorius. Šios atakos buvo nukreiptos į sistemingą konfigūracijos failų, aplinkos kintamųjų, SSH raktų, debesies kredencialų, „Git“ autentifikavimo duomenų, apvalkalo komandų istorijos ir jautrių sistemos failų, tokių kaip „passwd“ ir „shadow“, išgavimą. Kenkėjiška programa taip pat sukuria nuolatinį atkuriamumą, įdiegia SOCKS5 tarpinį serverį, atidaro atvirkštinį apvalkalą adresu 67.217.57.240 per 888 prievadą ir diegia „React“ skaitytuvą, kad internete ieškotų papildomų pažeidžiamų taikinių.

Operacija PCPcat: mastas ir poveikis

Manoma, kad ši bendra veikla, stebima pavadinimu „Operacija PCPcat“, jau paveikė 59 128 serverius. Analitikai šią kampaniją vertina kaip didelio masto žvalgybos duomenų rinkimo ir industrializuotas duomenų nutekėjimo požymį. Dabartiniai matavimai rodo, kad daugiau nei 111 000 IP adresų išlieka pažeidžiami „React2Shell“ atakų, o didžiausia jų koncentracija yra Jungtinėse Valstijose, po to seka Vokietija, Prancūzija ir Indija. Surinkti telemetrijos duomenys taip pat rodo, kad per 24 valandas šimtai kenkėjiškų IP adresų tokiuose regionuose kaip JAV, Indija, JK, Singapūras ir Nyderlandai aktyviai dalyvavo bandymuose jas išnaudoti.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
30,370
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...