Multilicenčná zľavová ponuka
Databáza hrozieb Zraniteľnosť Zraniteľnosť React2Shell

Zraniteľnosť React2Shell

Do roku Mezo v roku Zraniteľnosť, Pokročilá perzistentná hrozba (APT), Malvér
Preložiť do:

Bezpečnostní výskumníci potvrdili, že kritická zraniteľnosť známa ako React2Shell je aktívne zneužívaná viacerými aktérmi hrozbami na kompromitovanie systémov založených na Linuxe. Táto chyba sa využíva na nasadenie niekoľkých rodín škodlivého softvéru, najmä KSwapDoor a ZnDoor, čo umožňuje hlboký a trvalý prístup do postihnutých prostredí. Prebiehajúce zneužívanie zdôrazňuje, ako rýchlo sa po odhalení uvedú do prevádzky závažné chyby v aplikáciách.

KSwapDoor: Nenápadný Linuxový backdoor

KSwapDoor je starostlivo navrhnutý nástroj na vzdialený prístup, ktorý je navrhnutý tak, aby zostal dlhodobo skrytý. Vytvára internú sieť typu mesh, ktorá umožňuje infikovaným serverom navzájom komunikovať, čím útočníkom pomáha obísť obranu perimetra a udržiavať odolnosť, ak sú jednotlivé uzly zablokované. Jeho sieťová prevádzka je chránená silným šifrovaním, čo výrazne sťažuje kontrolu a detekciu. Jednou z jeho najohrozenejších schopností je latentný alebo „spící“ stav, ktorý umožňuje škodlivému softvéru zostať neaktívny, kým nedostane skrytý signál, ktorý ho reaktivuje, čím efektívne obíde ovládacie prvky firewallu.

Výskumníci objasnili, že KSwapDoor bol predtým mylne identifikovaný ako BPFDoor. V skutočnosti ide o zadné vrátka systému Linux, ktoré podporujú interaktívny prístup k shellu, vykonávanie ľubovoľných príkazov, manipuláciu so súbormi a skenovanie príležitostí na laterálny pohyb. Aby ešte viac zapadol do okolia, maskuje sa ako legitímny démon swap jadra systému Linux, čím sa znižuje pravdepodobnosť vzbudenia podozrenia počas bežného monitorovania systému.

Kampane ZnDoor zamerané na japonské organizácie

Súbežne s tým sa organizácie v Japonsku stali terčom útokov, ktoré využívajú React2Shell na doručovanie ZnDoor. Tento trójsky kôň pre vzdialený prístup bol v reálnom svete pozorovaný minimálne od decembra 2023. Tieto útoky zvyčajne začínajú jednoduchým príkazom bash, ktorý načíta užitočné zaťaženie zo vzdialeného servera na adrese 45.76.155.14 pomocou príkazu wget a potom ho vykoná lokálne.

Po nainštalovaní sa ZnDoor pripojí späť k infraštruktúre ovládanej útočníkom, aby prijímal pokyny a konal na základe nich. Jeho funkcionalita je široká a umožňuje plnú kontrolu nad napadnutým hostiteľom, ako je znázornené na nižšie uvedenej podporovanej sade príkazov:

  • shell a interactive_shell pre priame vykonávanie príkazov a interaktívny prístup
  • explorer, explorer_cat, explorer_delete, explorer_upload a explorer_download pre operácie so súbormi a adresármi
  • systém na zhromažďovanie informácií o hostiteľovi
  • change_timefile na zmenu časových pečiatok súborov
  • socket_quick_startstreams na spustenie SOCKS5 proxy
  • start_in_port_forward a stop_in_port na správu presmerovania portov

CVE-2025-55182 a zbrane pre viacerých skupín

Širšia aktivita sa zhoduje s rozsiahlym zneužívaním zraniteľnosti CVE-2025-55182 v React2Shell s maximálnym skóre CVSS 10,0. Bolo pozorovaných najmenej päť čínskych skupín hrozieb, ktoré túto chybu využívajú ako zbraň na distribúciu širokej škály užitočného zaťaženia vrátane tunelovacích nástrojov, sťahovacích programov a viacerých zadných vrátok pre Linux. Medzi nimi boli MINOCAT, SNOWLIGHT, COMPOOD, aktualizovaný variant HISONIC, ktorý sa pomocou Cloudflare Pages a GitLab integruje do legitímnej prevádzky, a linuxová verzia ANGRYREBEL, známa aj ako Noodle RAT.

Zneužívanie po zneužití a diverzita užitočného zaťaženia

Po získaní počiatočného spustenia kódu útočníci bežne spúšťajú ľubovoľné príkazy, aby si prehĺbili svoje pozície. Patria sem vytváranie reverzných shellov k známej infraštruktúre Cobalt Strike, nasadzovanie nástrojov na vzdialené monitorovanie a správu, ako je MeshAgent, zmena súboru authorized_keys a povolenie priameho prihlásenia root. Medzi ďalšie užitočné zaťaženia pozorované počas týchto operácií patria VShell, EtherRAT, ShadowPad, XMRig a opakované nasadzovanie SNOWLIGHT.

Aby sa kampane vyhli odhaleniu, často sa spoliehajú na koncové body tunela Cloudflare pod doménou trycloudflare.com, čo umožňuje prelínanie prevádzky systému velenia a riadenia s legitímnymi službami. Následne sa vykonáva rozsiahly prieskum s cieľom zmapovať prostredie, podporiť laterálny pohyb a identifikovať cenné prihlasovacie údaje.

Zber cloudových poverení a objavovanie tajných údajov

Hlavným zameraním týchto útokov je krádež poverení v cloudových prostrediach. Bolo pozorované, že útočníci dotazujú služby metadát inštancií pre Azure, AWS, Google Cloud Platform a Tencent Cloud v snahe získať tokeny identity a rozšíriť si prístup. Na extrakciu citlivého materiálu tiež nasadzujú nástroje na skenovanie tajných údajov, ako sú TruffleHog a Gitleaks, spolu s vlastnými skriptmi. Patria sem pokusy o krádež poverení umelej inteligencie a cloudových natívnych poverení, ako sú kľúče OpenAI API, tokeny Databricks, tajné údaje účtov služieb Kubernetes a prístupové tokeny získané prostredníctvom nástrojov Azure CLI a Azure Developer CLI.

Zneužívanie Next.js a exfiltrácia dát

V súvisiacej kampani výskumníci zdokumentovali zneužitie viacerých chýb v Next.js vrátane CVE-2025-29927 a CVE-2025-66478, pričom posledná uvedená chyba je skorším identifikátorom rovnakého problému v React2Shell. Tieto útoky sa zameriavali na systematickú extrakciu konfiguračných súborov, premenných prostredia, kľúčov SSH, cloudových prihlasovacích údajov, autentifikačných údajov Git, histórie príkazov shellu a citlivých systémových súborov, ako sú passwd a shadow. Malvér tiež vytvára perzistenciu, inštaluje proxy SOCKS5, otvára reverzný shell na adresu 67.217.57.240 na porte 888 a nasadzuje skener React na vyhľadávanie ďalších zraniteľných cieľov na internete.

Operácia PCPcat: Rozsah a dopad

Predpokladá sa, že kombinovaná aktivita, sledovaná pod názvom Operácia PCPcat, už ohrozila 59 128 serverov. Analytici hodnotia kampaň ako indikátor rozsiahleho zhromažďovania spravodajských informácií a industrializovaného úniku údajov. Súčasné merania naznačujú, že viac ako 111 000 IP adries je stále zraniteľných voči zneužitiu React2Shell, s najvyššou koncentráciou v Spojených štátoch, nasledovaných Nemeckom, Francúzskom a Indiou. Zhromaždená telemetria ďalej naznačuje, že stovky škodlivých IP adries v regiónoch, ako sú USA, India, Spojené kráľovstvo, Singapur a Holandsko, sa aktívne podieľali na pokusoch o zneužitie v priebehu jediného 24-hodinového obdobia.

Trendy

Najviac videné

Načítava...