Vairāku licenču atlaides piedāvājums
Draudu datu bāze Neaizsargātība React2Shell ievainojamība

React2Shell ievainojamība

Līdz Mezo. gadam Neaizsargātība, Advanced Persistent Threat (APT), Ļaunprātīga programmatūra. gadā
Tulkot uz:

Drošības pētnieki ir apstiprinājuši, ka vairāki apdraudējumu veidotāji aktīvi ļaunprātīgi izmanto kritisko ievainojamību, kas pazīstama kā React2Shell, lai apdraudētu Linux sistēmas. Šī nepilnība tiek izmantota, lai izvietotu vairākas ļaunprogrammatūru saimes, jo īpaši KSwapDoor un ZnDoor, nodrošinot dziļu un pastāvīgu piekļuvi skartajām vidēm. Pastāvīgā izmantošana parāda, cik ātri tiek ieviesti augstas ietekmes lietojumprogrammu trūkumi pēc to atklāšanas.

KSwapDoor: uz slepenību vērsta Linux aizmugures durvis

KSwapDoor ir rūpīgi izstrādāts attālās piekļuves rīks, kas paredzēts ilgstošai slēptai darbībai. Tas izveido iekšēju tīkla tīklu, kas ļauj inficētajiem serveriem sazināties savā starpā, palīdzot uzbrucējiem apiet perimetra aizsardzību un saglabāt noturību, ja atsevišķi mezgli tiek bloķēti. Tā tīkla trafiku aizsargā spēcīga šifrēšana, kas ievērojami apgrūtina pārbaudi un atklāšanu. Viena no tā satraucošākajām iespējām ir neaktīvs jeb “miega” stāvoklis, kas ļauj ļaunprogrammatūrai palikt neaktīvai, līdz tā saņem slepenu aktivizētāju, kas to atkārtoti aktivizē, efektīvi apejot ugunsmūra vadīklas.

Pētnieki noskaidroja, ka KSwapDoor iepriekš tika kļūdaini identificēts kā BPFDoor. Patiesībā tā ir Linux aizmugures durvis, kas atbalsta interaktīvu piekļuvi apvalkam, patvaļīgu komandu izpildi, failu manipulāciju un sānu pārvietošanās iespēju skenēšanu. Lai vēl vairāk iekļautos, tā maskējas kā likumīgs Linux kodola mijmaiņas dēmons, samazinot aizdomu rašanās iespējamību ikdienas sistēmas uzraudzības laikā.

ZnDoor kampaņas, kas vērstas uz Japānas organizācijām

Paralēli tam organizācijas Japānā ir saskārušās ar uzbrukumiem, kas izmanto React2Shell, lai piegādātu ZnDoor. Šis attālās piekļuves Trojas zirgs reālās pasaules darbībās ir novērots vismaz kopš 2023. gada decembra. Šie ielaušanās parasti sākas ar vienkāršu bash komandu, kas, izmantojot wget, izgūst vērtumu no attālā servera ar adresi 45.76.155.14 un pēc tam to izpilda lokāli.

Pēc instalēšanas ZnDoor izveido savienojumu ar uzbrucēja kontrolētu infrastruktūru, lai saņemtu norādījumus un rīkotos saskaņā ar tiem. Tā funkcionalitāte ir plaša un nodrošina pilnīgu kontroli pār apdraudēto resursdatoru, kā parādīts tālāk redzamajā atbalstīto komandu kopā:

  • shell un interactive_shell tiešai komandu izpildei un interaktīvai piekļuvei
  • explorer, explorer_cat, explorer_delete, explorer_upload un explorer_download failu un direktoriju darbībām
  • sistēma resursdatora informācijas apkopošanai
  • change_timefile, lai mainītu failu laika zīmogus
  • socket_quick_startstreams, lai palaistu SOCKS5 starpniekserveri
  • start_in_port_forward un stop_in_port, lai pārvaldītu portu pāradresāciju

CVE-2025-55182 un daudzgrupu ieroču izmantošana

Plašākā aktivitāte sakrīt ar plaši izplatīto CVE-2025-55182 izmantošanu — React2Shell ievainojamību, kurai piešķirts maksimālais CVSS vērtējums 10,0. Ir novērots, ka vismaz piecas ar Ķīnu saistītas apdraudējumu grupas izmanto šo ievainojamību kā ieroci, lai izplatītu dažādas slodzes, tostarp tunelēšanas rīkus, lejupielādētājus un vairākas Linux aizmugures durvis. Starp tām bija MINOCAT, SNOWLIGHT, COMPOOD — atjaunināts HISONIC variants, kas saplūst ar likumīgu datplūsmu, izmantojot Cloudflare Pages un GitLab, un ANGRYREBEL Linux versija, kas pazīstama arī kā Noodle RAT.

Pēc ekspluatācijas īstenota ļaunprātīga izmantošana un lietderīgās slodzes daudzveidība

Pēc sākotnējās koda izpildes iegūšanas uzbrucēji parasti palaiž patvaļīgas komandas, lai nostiprinātu savu ietekmi. Tas ietver apgriezto čaulu izveidi zināmai Cobalt Strike infrastruktūrai, attālās uzraudzības un pārvaldības rīku, piemēram, MeshAgent, izvietošanu, authorized_keys faila mainīšanu un tiešu root pieteikšanos iespējošanu. Papildu vērtuma slodzes, kas tiek novērotas šo darbību laikā, ietver VShell, EtherRAT, ShadowPad, XMRig un atkārtotu SNOWLIGHT izvietošanu.

Lai izvairītos no atklāšanas, kampaņas bieži izmanto Cloudflare Tunnel galapunktus trycloudflare.com domēnā, ļaujot komandu un kontroles datplūsmai saplūst ar likumīgiem pakalpojumiem. Pēc tam tiek veikta plaša izlūkošana, lai kartētu vidi, atbalstītu sānu kustību un identificētu vērtīgus akreditācijas datus.

Mākoņa akreditācijas datu apkopošana un slepenības atklāšana

Šo uzbrukumu galvenā uzmanība ir pievērsta akreditācijas datu zādzībām mākoņvidē. Ir novērots, ka apdraudējumu izpildītāji vaicā Azure, AWS, Google Cloud Platform un Tencent Cloud instanču metadatu pakalpojumus, cenšoties iegūt identitātes žetonus un paplašināt savu piekļuvi. Viņi arī izmanto slepenības skenēšanas rīkus, piemēram, TruffleHog un Gitleaks, kā arī pielāgotus skriptus, lai iegūtu sensitīvu materiālu. Tas ietver mēģinājumus nozagt mākslīgā intelekta un mākoņdatošanas akreditācijas datus, piemēram, OpenAI API atslēgas, Databricks žetonus, Kubernetes pakalpojumu konta noslēpumus un piekļuves žetonus, kas iegūti, izmantojot Azure CLI un Azure Developer CLI rīkus.

Next.js izmantošana un datu eksfiltrācija

Saistītā kampaņā pētnieki dokumentēja vairāku Next.js trūkumu izmantošanu, tostarp CVE-2025-29927 un CVE-2025-66478, pēdējais bija agrāks tās pašas React2Shell problēmas identifikators. Šie uzbrukumi bija vērsti uz konfigurācijas failu, vides mainīgo, SSH atslēgu, mākoņa akreditācijas datu, Git autentifikācijas datu, čaulas komandu vēstures un sensitīvu sistēmas failu, piemēram, passwd un shadow, sistemātisku iegūšanu. Ļaunprogrammatūra arī izveido pastāvīgu piekļuvi, instalē SOCKS5 starpniekserveri, atver apgriezto čaulu uz 67.217.57.240 888. portā un izvieto React skeneri, lai internetā meklētu papildu neaizsargātus mērķus.

Operācija PCPcat: mērogs un ietekme

Tiek uzskatīts, ka apvienotā aktivitāte, kas tiek izsekota ar nosaukumu “Operācija PCPcat”, jau ir apdraudējusi 59 128 serverus. Analītiķi šo kampaņu vērtē kā liela mēroga izlūkošanas datu vākšanas un industrializētas datu noplūdes pazīmi. Pašreizējie mērījumi liecina, ka vairāk nekā 111 000 IP adrešu joprojām ir neaizsargātas pret React2Shell izmantošanu, un vislielākā koncentrācija ir Amerikas Savienotajās Valstīs, kam seko Vācija, Francija un Indija. Apkopotie telemetrijas dati arī liecina, ka simtiem ļaunprātīgu IP adrešu tādos reģionos kā ASV, Indija, Apvienotā Karaliste, Singapūra un Nīderlande ir aktīvi piedalījušās izmantošanas mēģinājumos vienas 24 stundu laikā.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
30,370
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...