Oferta rabatowa na wiele licencji
Baza danych zagrożeń Wrażliwość Luka w zabezpieczeniach React2Shell

Luka w zabezpieczeniach React2Shell

Do Mezo w Wrażliwość, Zaawansowane trwałe zagrożenie (APT), Złośliwe oprogramowanie
Przetłumacz na:

Badacze bezpieczeństwa potwierdzili, że krytyczna luka w zabezpieczeniach znana jako React2Shell jest aktywnie wykorzystywana przez wielu cyberprzestępców do ataków na systemy Linux. Luka ta jest wykorzystywana do wdrażania kilku rodzin złośliwego oprogramowania, w szczególności KSwapDoor i ZnDoor, umożliwiając głęboki i trwały dostęp do zainfekowanych środowisk. Trwająca eksploatacja pokazuje, jak szybko poważne luki w aplikacjach są operacjonalizowane po ich ujawnieniu.

KSwapDoor: Ukryty backdoor dla Linuksa

KSwapDoor to starannie zaprojektowane narzędzie do zdalnego dostępu, które pozostaje ukryte przez długi czas. Tworzy ono wewnętrzną sieć mesh, która umożliwia zainfekowanym serwerom komunikację między sobą, pomagając atakującym omijać zabezpieczenia obwodowe i zachować odporność w przypadku zablokowania poszczególnych węzłów. Ruch sieciowy jest chroniony silnym szyfrowaniem, co znacznie utrudnia inspekcję i wykrywanie. Jedną z jego najbardziej niepokojących funkcji jest stan uśpienia, który pozwala złośliwemu oprogramowaniu pozostać nieaktywnym do momentu otrzymania ukrytego sygnału, który je reaktywuje, skutecznie omijając zabezpieczenia zapory sieciowej.

Badacze wyjaśnili, że KSwapDoor był wcześniej błędnie identyfikowany jako BPFDoor. W rzeczywistości jest to backdoor Linuksa, który obsługuje interaktywny dostęp do powłoki, wykonywanie dowolnych poleceń, manipulację plikami i skanowanie w poszukiwaniu możliwości ruchu bocznego. Aby jeszcze bardziej wtopić się w tłum, podszywa się pod legalnego demona wymiany jądra Linuksa, zmniejszając prawdopodobieństwo wzbudzenia podejrzeń podczas rutynowego monitorowania systemu.

Kampanie ZnDoor skierowane do organizacji japońskich

Równocześnie organizacje w Japonii padły ofiarą ataków wykorzystujących React2Shell do rozprzestrzeniania ZnDoor. Ten trojan zdalnego dostępu jest obserwowany w rzeczywistych działaniach co najmniej od grudnia 2023 roku. Tego typu ataki zazwyczaj rozpoczynają się od prostego polecenia bash, które pobiera dane z serwera zdalnego pod adresem 45.76.155.14 za pomocą wget, a następnie uruchamia je lokalnie.

Po zainstalowaniu ZnDoor łączy się z infrastrukturą kontrolowaną przez atakującego, aby odbierać instrukcje i działać zgodnie z nimi. Jego funkcjonalność jest szeroka i umożliwia pełną kontrolę nad zainfekowanym hostem, co ilustruje poniższy zestaw obsługiwanych poleceń:

  • shell i interactive_shell do bezpośredniego wykonywania poleceń i dostępu interaktywnego
  • explorer, explorer_cat, explorer_delete, explorer_upload i explorer_download do operacji na plikach i katalogach
  • system zbierania informacji o hoście
  • change_timefile do zmiany znaczników czasu plików
  • socket_quick_startstreams do uruchomienia serwera proxy SOCKS5
  • start_in_port_forward i stop_in_port do zarządzania przekierowaniem portów

CVE-2025-55182 i broń wielogrupowa

Szersza aktywność zbiega się z powszechnym wykorzystaniem luki CVE-2025-55182, luki w zabezpieczeniach React2Shell, której maksymalny wynik CVSS wynosi 10,0. Zaobserwowano, że co najmniej pięć grup cyberprzestępczych powiązanych z Chinami wykorzystywało tę lukę do dystrybucji różnorodnych ładunków, w tym narzędzi tunelujących, programów pobierających dane i wielu backdoorów Linuksa. Wśród nich znalazły się MINOCAT, SNOWLIGHT, COMPOOD, zaktualizowany wariant HISONIC, który łączy się z legalnym ruchem za pośrednictwem Cloudflare Pages i GitLab, a także linuksowa wersja ANGRYREBEL, znana również jako Noodle RAT.

Nadużycia po eksploatacji i różnorodność ładunku

Po uzyskaniu dostępu do początkowego wykonania kodu, atakujący często uruchamiają dowolne polecenia, aby umocnić swoją pozycję. Obejmuje to ustanowienie odwrotnych powłok dla znanej infrastruktury Cobalt Strike, wdrożenie narzędzi do zdalnego monitorowania i zarządzania, takich jak MeshAgent, modyfikację pliku authorized_keys oraz umożliwienie bezpośredniego logowania z uprawnieniami roota. Dodatkowe obciążenia widoczne podczas tych operacji obejmują VShell, EtherRAT, ShadowPad, XMRig oraz wielokrotne wdrożenia SNOWLIGHT.

Aby uniknąć wykrycia, kampanie często wykorzystują punkty końcowe Cloudflare Tunnel w domenie trycloudflare.com, umożliwiając w ten sposób przepływ ruchu dowodzenia i kontroli z legalnymi usługami. Następnie przeprowadzany jest szeroko zakrojony rekonesans w celu zmapowania środowiska, wsparcia ruchu bocznego i identyfikacji cennych danych uwierzytelniających.

Zbieranie poświadczeń w chmurze i odkrywanie tajemnic

Głównym celem tych ataków jest kradzież danych uwierzytelniających w środowiskach chmurowych. Zaobserwowano, że atakujący przeszukują usługi metadanych instancji dla platform Azure, AWS, Google Cloud Platform i Tencent Cloud w celu uzyskania tokenów tożsamości i rozszerzenia dostępu. Wdrażają również narzędzia do skanowania poufnych danych, takie jak TruffleHog i Gitleaks, wraz z niestandardowymi skryptami, aby wyodrębnić poufne dane. Obejmuje to próby kradzieży danych uwierzytelniających AI i natywnych dla chmury, takich jak klucze API OpenAI, tokeny Databricks, sekrety kont usług Kubernetes oraz tokeny dostępu uzyskane za pośrednictwem interfejsu wiersza poleceń platformy Azure i narzędzi interfejsu wiersza poleceń platformy Azure dla deweloperów.

Eksploatacja Next.js i eksfiltracja danych

W powiązanej kampanii badacze udokumentowali wykorzystanie wielu luk w Next.js, w tym CVE-2025-29927 i CVE-2025-66478, przy czym ten ostatni był wcześniejszym identyfikatorem tego samego problemu React2Shell. Ataki te koncentrowały się na systematycznym wyodrębnianiu plików konfiguracyjnych, zmiennych środowiskowych, kluczy SSH, danych uwierzytelniających w chmurze, danych uwierzytelniających Git, historii poleceń powłoki oraz poufnych plików systemowych, takich jak passwd i shadow. Złośliwe oprogramowanie tworzy również trwałość, instaluje serwer proxy SOCKS5, otwiera odwrotną powłokę dla adresu 67.217.57.240 na porcie 888 i wdraża skaner React w celu przeszukania internetu w poszukiwaniu innych podatnych celów.

Operacja PCPcat: skala i wpływ

Uważa się, że połączona aktywność, śledzona pod nazwą Operation PCPcat, doprowadziła już do naruszenia bezpieczeństwa 59 128 serwerów. Analitycy oceniają, że kampania ta wskazuje na gromadzenie informacji wywiadowczych na dużą skalę i przemysłową eksfiltrację danych. Aktualne pomiary wskazują, że ponad 111 000 adresów IP pozostaje podatnych na ataki React2Shell, z największą koncentracją w Stanach Zjednoczonych, a następnie w Niemczech, Francji i Indiach. Zebrane dane telemetryczne wskazują również, że setki złośliwych adresów IP z regionów takich jak Stany Zjednoczone, Indie, Wielka Brytania, Singapur i Holandia aktywnie uczestniczyły w próbach ataku w ciągu jednej doby.

Popularne

Najczęściej oglądane

Ładowanie...