Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Keterdedahan Kerentanan React2Shell

Kerentanan React2Shell

Menjelang Mezo pada Keterdedahan, Ancaman Berterusan Lanjutan (APT), perisian hasad
Terjemahkan ke

Penyelidik keselamatan telah mengesahkan bahawa kelemahan kritikal yang dikenali sebagai React2Shell sedang disalahgunakan secara aktif oleh pelbagai pelaku ancaman untuk menjejaskan sistem berasaskan Linux. Kecacatan ini dimanfaatkan untuk menggunakan beberapa keluarga perisian hasad, terutamanya KSwapDoor dan ZnDoor, yang membolehkan akses yang mendalam dan berterusan ke persekitaran yang terjejas. Eksploitasi berterusan ini menonjolkan betapa cepatnya kelemahan aplikasi berimpak tinggi beroperasi sebaik sahaja didedahkan.

KSwapDoor: Pintu Belakang Linux yang Berfokuskan Senyap

KSwapDoor ialah alat akses jauh yang direka bentuk dengan teliti yang dibina untuk kekal tersembunyi untuk jangka masa yang lama. Ia mewujudkan rangkaian jejaring dalaman yang membolehkan pelayan yang dijangkiti berkomunikasi antara satu sama lain, membantu penyerang memintas pertahanan perimeter dan mengekalkan daya tahan jika nod individu disekat. Trafik rangkaiannya dilindungi dengan penyulitan yang kuat, menjadikan pemeriksaan dan pengesanan jauh lebih sukar. Salah satu keupayaannya yang paling membimbangkan ialah keadaan tidak aktif atau 'tidur', yang membolehkan perisian hasad kekal tidak aktif sehingga ia menerima pencetus rahsia yang mengaktifkannya semula, dengan berkesan memintas kawalan tembok api.

Penyelidik menjelaskan bahawa KSwapDoor sebelum ini telah disalahkenal pasti sebagai BPFDoor. Pada hakikatnya, ia merupakan pintu belakang Linux yang menyokong akses shell interaktif, pelaksanaan arahan sewenang-wenangnya, manipulasi fail dan pengimbasan untuk peluang pergerakan sisi. Untuk lebih sebati, ia menyamar sebagai daemon pertukaran kernel Linux yang sah, sekali gus mengurangkan kemungkinan menimbulkan syak wasangka semasa pemantauan sistem rutin.

Kempen ZnDoor Menyasarkan Organisasi Jepun

Secara selari, organisasi di Jepun telah disasarkan dengan serangan yang mengeksploitasi React2Shell untuk menghantar ZnDoor. Trojan akses jauh ini telah diperhatikan dalam aktiviti dunia sebenar sekurang-kurangnya sejak Disember 2023. Pencerobohan ini biasanya bermula dengan arahan bash mudah yang mengambil muatan daripada pelayan jauh di 45.76.155.14 menggunakan wget dan kemudian melaksanakannya secara setempat.

Setelah dipasang, ZnDoor bersambung kembali ke infrastruktur yang dikawal oleh penyerang untuk menerima arahan dan bertindak ke atasnya. Fungsinya luas dan membolehkan kawalan penuh ke atas hos yang dikompromi, seperti yang digambarkan oleh arahan yang disokong yang ditetapkan di bawah:

  • shell dan interactive_shell untuk pelaksanaan arahan langsung dan akses interaktif
  • explorer, explorer_cat, explorer_delete, explorer_upload dan explorer_download untuk operasi fail dan direktori
  • sistem untuk mengumpul maklumat hos
  • change_timefile untuk mengubah cap waktu fail
  • socket_quick_startstreams untuk melancarkan proksi SOCKS5
  • start_in_port_forward dan stop_in_port untuk mengurus penghantaran port

CVE-2025-55182 dan Persenjataan Berbilang Kumpulan

Aktiviti yang lebih luas ini bertepatan dengan eksploitasi meluas CVE-2025-55182, satu kerentanan React2Shell yang diberikan skor CVSS maksimum 10.0. Sekurang-kurangnya lima kumpulan ancaman yang sejajar dengan China telah diperhatikan menggunakan kelemahan ini untuk mengagihkan pelbagai muatan, termasuk alat penerowongan, pemuat turun dan pelbagai pintu belakang Linux. Antaranya ialah MINOCAT, SNOWLIGHT, COMPOOD, varian HISONIC yang dikemas kini yang digabungkan ke dalam trafik yang sah menggunakan Cloudflare Pages dan GitLab dan versi Linux ANGRYREBEL, juga dikenali sebagai Noodle RAT.

Penyalahgunaan Pasca Eksploitasi dan Kepelbagaian Muatan

Selepas mendapat pelaksanaan kod awal, penyerang biasanya menjalankan arahan sewenang-wenangnya untuk memperdalam kedudukan mereka. Ini termasuk mewujudkan shell terbalik pada infrastruktur Cobalt Strike yang diketahui, menggunakan alat pemantauan dan pengurusan jarak jauh seperti MeshAgent, mengubah fail authorized_keys dan mendayakan log masuk root langsung. Muatan tambahan yang dilihat semasa operasi ini termasuk VShell, EtherRAT, ShadowPad, XMRig dan penggunaan SNOWLIGHT berulang kali.

Untuk mengelakkan pengesanan, kempen sering bergantung pada titik akhir Terowong Cloudflare di bawah domain trycloudflare.com, yang membolehkan trafik arahan dan kawalan bercampur dengan perkhidmatan yang sah. Peninjauan meluas kemudiannya dijalankan untuk memetakan persekitaran, menyokong pergerakan lateral dan mengenal pasti kelayakan yang berharga.

Penuaian Kelayakan Awan dan Penemuan Rahsia

Tumpuan utama serangan ini adalah kecurian kelayakan dalam persekitaran awan. Pelaku ancaman telah diperhatikan sedang menanyakan perkhidmatan metadata contoh untuk Azure, AWS, Google Cloud Platform dan Tencent Cloud dalam usaha untuk mendapatkan token identiti dan mengembangkan akses mereka. Mereka juga menggunakan alat pengimbasan rahsia seperti TruffleHog dan Gitleaks, di samping skrip tersuai, untuk mengekstrak bahan sensitif. Ini termasuk percubaan untuk mencuri kelayakan AI dan awan asli seperti kunci API OpenAI, token Databricks, rahsia akaun perkhidmatan Kubernetes dan token akses yang diperoleh melalui Azure CLI dan perkakasan Azure Developer CLI.

Eksploitasi Next.js dan Pengekstrakan Data

Dalam kempen berkaitan, para penyelidik mendokumentasikan eksploitasi pelbagai kelemahan Next.js, termasuk CVE-2025-29927 dan CVE-2025-66478, yang terakhir merupakan pengecam terdahulu untuk isu React2Shell yang sama. Serangan ini tertumpu pada pengekstrakan fail konfigurasi, pembolehubah persekitaran, kunci SSH, kelayakan awan, data pengesahan Git, sejarah arahan shell dan fail sistem sensitif seperti passwd dan shadow secara sistematik. Perisian hasad ini juga mewujudkan kegigihan, memasang proksi SOCKS5, membuka shell terbalik ke 67.217.57.240 pada port 888 dan menggunakan pengimbas React untuk mencari sasaran terdedah tambahan di internet.

Operasi PCPcat: Skala dan Impak

Aktiviti gabungan itu, yang dikesan di bawah nama Operasi PCPcat, dipercayai telah menjejaskan 59,128 pelayan. Penganalisis menilai kempen tersebut sebagai petunjuk pengumpulan risikan berskala besar dan penyusupan data perindustrian. Pengukuran semasa menunjukkan lebih daripada 111,000 alamat IP kekal terdedah kepada eksploitasi React2Shell, dengan kepekatan tertinggi di Amerika Syarikat, diikuti oleh Jerman, Perancis dan India. Telemetri yang dikumpul selanjutnya menunjukkan bahawa beratus-ratus alamat IP berniat jahat di seluruh wilayah seperti AS, India, UK, Singapura dan Belanda telah mengambil bahagian secara aktif dalam percubaan eksploitasi dalam tempoh 24 jam sahaja.

Trending

Paling banyak dilihat

Memuatkan...