Скидка на мультилицензию
База данных угроз Уязвимость Уязвимость React2Shell

Уязвимость React2Shell

К Mezo году в Уязвимость, Расширенная постоянная угроза (APT), Вредоносное ПО году
Перевести на:

Исследователи в области безопасности подтвердили, что критическая уязвимость, известная как React2Shell, активно используется различными злоумышленниками для компрометации систем на базе Linux. Эта уязвимость используется для развертывания нескольких семейств вредоносных программ, наиболее известными из которых являются KSwapDoor и ZnDoor, что обеспечивает глубокий и постоянный доступ к затронутым средам. Продолжающаяся эксплуатация подчеркивает, как быстро уязвимости в приложениях, оказывающие серьезное влияние, становятся доступными после их обнаружения.

KSwapDoor: скрытно работающий бэкдор в Linux

KSwapDoor — это тщательно разработанный инструмент удалённого доступа, созданный для длительной скрытности. Он создаёт внутреннюю ячеистую сеть, позволяющую заражённым серверам взаимодействовать друг с другом, помогая злоумышленникам обходить периметр защиты и сохранять устойчивость в случае блокировки отдельных узлов. Его сетевой трафик защищён надёжным шифрованием, что значительно затрудняет проверку и обнаружение. Одна из наиболее опасных его возможностей — это спящее состояние, позволяющее вредоносной программе оставаться неактивной до тех пор, пока она не получит скрытый триггер, который её активирует, эффективно обходя средства контроля брандмауэра.

Исследователи уточнили, что KSwapDoor ранее ошибочно идентифицировался как BPFDoor. В действительности это бэкдор Linux, поддерживающий интерактивный доступ к командной оболочке, произвольное выполнение команд, манипулирование файлами и сканирование на предмет возможностей горизонтального перемещения. Для большей маскировки он выдаёт себя за легитимный демон подкачки ядра Linux, что снижает вероятность возникновения подозрений при обычном мониторинге системы.

Кампании ZnDoor, направленные против японских организаций.

Параллельно с этим, организации в Японии стали объектами атак, использующих уязвимость React2Shell для распространения ZnDoor. Этот троян удаленного доступа наблюдается в реальной жизни как минимум с декабря 2023 года. Эти вторжения обычно начинаются с простой команды bash, которая извлекает полезную нагрузку с удаленного сервера по адресу 45.76.155.14 с помощью wget, а затем выполняет ее локально.

После установки ZnDoor подключается к контролируемой злоумышленником инфраструктуре для получения инструкций и выполнения их. Его функциональность широка и обеспечивает полный контроль над скомпрометированным хостом, как показано в приведенном ниже наборе поддерживаемых команд:

  • shell и interactive_shell для прямого выполнения команд и интерактивного доступа.
  • explorer, explorer_cat, explorer_delete, explorer_upload и explorer_download — для операций с файлами и каталогами.
  • система для сбора информации о хосте
  • change_timefile для изменения временных меток файлов
  • Используйте socket_quick_startstreams для запуска SOCKS5-прокси.
  • Параметры start_in_port_forward и stop_in_port используются для управления переадресацией портов.

CVE-2025-55182 и создание оружия несколькими группами

Более масштабная активность совпадает с широкомасштабной эксплуатацией уязвимости CVE-2025-55182 в React2Shell, которой присвоен максимальный балл CVSS 10.0. По меньшей мере пять связанных с Китаем группировок злоумышленников использовали эту уязвимость для распространения разнообразных вредоносных программ, включая инструменты туннелирования, загрузчики и многочисленные бэкдоры для Linux. Среди них были MINOCAT, SNOWLIGHT, COMPOOD, обновленный вариант HISONIC, который маскируется под легитимный трафик с помощью Cloudflare Pages и GitLab, а также версия ANGRYREBEL для Linux, также известная как Noodle RAT.

Злоупотребления после эксплуатации и разнообразие полезной нагрузки

После получения доступа к первоначальному коду злоумышленники обычно выполняют произвольные команды для углубления своего влияния. Это включает в себя создание обратных оболочек для известной инфраструктуры Cobalt Strike, развертывание инструментов удаленного мониторинга и управления, таких как MeshAgent, изменение файла authorized_keys и обеспечение прямого входа в систему с правами root. В ходе этих операций также обнаруживаются VShell, EtherRAT, ShadowPad, XMRig и многократное развертывание SNOWLIGHT.

Чтобы избежать обнаружения, в этих кампаниях часто используются конечные точки Cloudflare Tunnel в домене trycloudflare.com, что позволяет трафику управления и контроля сливаться с легитимными сервисами. Затем проводится масштабная разведка для составления карты среды, поддержки горизонтального перемещения и выявления ценных учетных данных.

Сбор учетных данных в облаке и обнаружение секретных данных

Основная цель этих атак — кража учетных данных в облачных средах. Было замечено, что злоумышленники запрашивают метаданные сервисов экземпляров Azure, AWS, Google Cloud Platform и Tencent Cloud, чтобы получить токены идентификации и расширить свой доступ. Они также используют инструменты сканирования секретов, такие как TruffleHog и Gitleaks, а также собственные скрипты для извлечения конфиденциальной информации. Это включает попытки кражи учетных данных ИИ и облачных сервисов, таких как ключи API OpenAI, токены Databricks, секреты учетных записей служб Kubernetes и токены доступа, полученные с помощью инструментов Azure CLI и Azure Developer CLI.

Эксплуатация уязвимостей Next.js и утечка данных.

В рамках аналогичной кампании исследователи задокументировали эксплуатацию множества уязвимостей Next.js, включая CVE-2025-29927 и CVE-2025-66478, причем последняя является более ранним идентификатором той же проблемы React2Shell. Эти атаки были сосредоточены на систематическом извлечении файлов конфигурации, переменных окружения, ключей SSH, учетных данных облачных сервисов, данных аутентификации Git, истории команд оболочки и конфиденциальных системных файлов, таких как passwd и shadow. Вредоносная программа также обеспечивает постоянное присутствие в системе, устанавливает прокси-сервер SOCKS5, открывает обратную оболочку к 67.217.57.240 на порту 888 и развертывает сканер React для поиска в интернете дополнительных уязвимых целей.

Операция PCPcat: масштаб и влияние

Считается, что в результате совместной деятельности, отслеживаемой под названием Operation PCPcat, уже было скомпрометировано 59 128 серверов. Аналитики оценивают эту кампанию как свидетельство крупномасштабного сбора разведывательной информации и промышленной утечки данных. Текущие измерения показывают, что более 111 000 IP-адресов остаются уязвимыми для эксплуатации React2Shell, при этом наибольшая концентрация наблюдается в США, за которыми следуют Германия, Франция и Индия. Собранные телеметрические данные также указывают на то, что сотни вредоносных IP-адресов в таких регионах, как США, Индия, Великобритания, Сингапур и Нидерланды, активно участвовали в попытках эксплуатации в течение одних 24 часов.

В тренде

Вредоносная программа EtherRAT

Инструменты удаленного администрирования, Расширенная постоянная угроза (APT)
Недавно обнаруженная мошенническая кампания, связанная с северокорейскими операторами, предположительно использует критическую уязвимость React2Shell (RSC) для развертывания ранее неизвестного...

Qiaoxp Kramv Utils

Потенциально нежелательные программы, Рекламное ПО, Браузерные хайджекеры
Защита ваших устройств от навязчивых и ненадёжных потенциально нежелательных программ (ПНП) крайне важна. ПНП, хотя и не всегда классифицируются как вредоносное ПО, могут поставить под угрозу...

Наиболее просматриваемые

Загрузка...