Popust za več licenc
Podjetje o grožnjah Ranljivost Ranljivost React2Shell

Ranljivost React2Shell

Do leta Mezo leta Ranljivost, Napredna trajna grožnja (APT), Zlonamerna programska oprema
Prevedi v:

Varnostni raziskovalci so potrdili, da številni akterji groženj aktivno zlorabljajo kritično ranljivost, znano kot React2Shell, za ogrožanje sistemov, ki temeljijo na Linuxu. Napaka se izkorišča za nameščanje več družin zlonamerne programske opreme, predvsem KSwapDoor in ZnDoor, kar omogoča globok in trajen dostop do prizadetih okolij. Tekoče izkoriščanje poudarja, kako hitro se močno vplivajoče pomanjkljivosti aplikacij aktivirajo po razkritju.

KSwapDoor: Prikrita Linux zadnja vrata

KSwapDoor je skrbno zasnovano orodje za oddaljeni dostop, ki je zgrajeno tako, da ostane skrito dlje časa. Vzpostavi notranje mrežno omrežje, ki okuženim strežnikom omogoča medsebojno komunikacijo, kar napadalcem pomaga zaobiti obrambo oboda in ohraniti odpornost, če so posamezna vozlišča blokirana. Njegov omrežni promet je zaščiten z močnim šifriranjem, zaradi česar je pregled in odkrivanje bistveno težje. Ena njegovih najbolj zaskrbljujočih zmogljivosti je stanje mirovanja ali »spečega« stanja, ki zlonamerni programski opremi omogoča, da ostane neaktivna, dokler ne prejme prikritega sprožilca, ki jo ponovno aktivira in s tem učinkovito zaobide nadzor požarnega zidu.

Raziskovalci so pojasnili, da je bil KSwapDoor prej napačno identificiran kot BPFDoor. V resnici gre za Linuxova zadnja vrata, ki podpirajo interaktivni dostop do lupine, izvajanje poljubnih ukazov, manipulacijo datotek in skeniranje za možnosti lateralnega premikanja. Da bi se še bolj zlil z okolico, se maskira kot legitimni Linuxov demon za zamenjavo jedra, kar zmanjšuje verjetnost vzbuditve suma med rutinskim spremljanjem sistema.

Kampanje ZnDoor, usmerjene na japonske organizacije

Vzporedno so bile organizacije na Japonskem tarča napadov, ki izkoriščajo React2Shell za dostavo ZnDoor. Ta trojanski konj za oddaljeni dostop je bil v resničnem svetu opažen vsaj od decembra 2023. Ti vdori se običajno začnejo s preprostim ukazom bash, ki z oddaljenega strežnika na naslovu 45.76.155.14 z uporabo ukaza wget pridobi koristni tovor in ga nato izvede lokalno.

Ko je ZnDoor nameščen, se poveže nazaj z infrastrukturo, ki jo nadzoruje napadalec, da prejme navodila in ukrepa na podlagi njih. Njegova funkcionalnost je široka in omogoča popoln nadzor nad ogroženim gostiteljem, kot je prikazano v spodnjem podprtem naboru ukazov:

  • shell in interactive_shell za neposredno izvajanje ukazov in interaktivni dostop
  • explorer, explorer_cat, explorer_delete, explorer_upload in explorer_download za operacije z datotekami in imeniki
  • sistem za zbiranje informacij o gostitelju
  • change_timefile za spreminjanje časovnih žigov datotek
  • socket_quick_startstreams za zagon proxyja SOCKS5
  • start_in_port_forward in stop_in_port za upravljanje posredovanja vrat

CVE-2025-55182 in orožje za več skupin

Širša aktivnost sovpada s široko razširjeno izkoriščanjem ranljivosti CVE-2025-55182, ki ji je bila dodeljena najvišja ocena CVSS 10,0. Opazili so vsaj pet kitajsko usmerjenih skupin, ki so to napako izkoriščale za distribucijo raznolikih koristnih tovorov, vključno z orodji za tuneliranje, programi za prenos in številnimi zadnjimi vrati za Linux. Med njimi so bili MINOCAT, SNOWLIGHT, COMPOOD, posodobljena različica HISONIC, ki se z uporabo Cloudflare Pages in GitLab zlije z legitimnim prometom, ter različica ANGRYREBEL za Linux, znana tudi kot Noodle RAT.

Zloraba po izkoriščanju in raznolikost koristnega tovora

Po pridobitvi začetne izvedbe kode napadalci običajno izvajajo poljubne ukaze, da bi okrepili svoj položaj. To vključuje vzpostavitev povratnih lupin za znano infrastrukturo Cobalt Strike, nameščanje orodij za oddaljeno spremljanje in upravljanje, kot je MeshAgent, spreminjanje datoteke authorized_keys in omogočanje neposrednih prijav root. Dodatni koristni tovori, opaženi med temi operacijami, vključujejo VShell, EtherRAT, ShadowPad, XMRig in ponavljajoče se nameščanje SNOWLIGHT.

Da bi se izognile odkrivanju, se kampanje pogosto zanašajo na končne točke tunela Cloudflare pod domeno trycloudflare.com, kar omogoča, da se promet upravljanja in nadzora zlije z legitimnimi storitvami. Nato se izvede obsežno izvidovanje za kartiranje okolja, podporo lateralnemu gibanju in prepoznavanje dragocenih poverilnic.

Pridobivanje poverilnic v oblaku in odkrivanje tajnih podatkov

Glavni poudarek teh napadov je krajo poverilnic v oblačnih okoljih. Opazili so akterje grožnje, ki so poizvedovali po storitvah metapodatkov primerkov za Azure, AWS, Google Cloud Platform in Tencent Cloud, da bi pridobili žetone identitete in razširili svoj dostop. Za pridobivanje občutljivega gradiva uporabljajo tudi orodja za skeniranje tajnih podatkov, kot sta TruffleHog in Gitleaks, skupaj s skripti po meri. To vključuje poskuse kraje poverilnic umetne inteligence in poverilnic, ki so izvorne v oblaku, kot so ključi API-ja OpenAI, žetoni Databricks, skrivnosti računov storitev Kubernetes in žetoni za dostop, pridobljeni prek orodij Azure CLI in Azure Developer CLI.

Izkoriščanje Next.js in izkrcanje podatkov

V povezani kampanji so raziskovalci dokumentirali izkoriščanje več pomanjkljivosti Next.js, vključno s CVE-2025-29927 in CVE-2025-66478, pri čemer je slednja zgodnejši identifikator za isto težavo React2Shell. Ti napadi so se osredotočali na sistematično pridobivanje konfiguracijskih datotek, okoljskih spremenljivk, ključev SSH, poverilnic v oblaku, podatkov za preverjanje pristnosti Git, zgodovine ukazov lupine in občutljivih sistemskih datotek, kot sta passwd in shadow. Zlonamerna programska oprema vzpostavi tudi vztrajnost, namesti proxy SOCKS5, odpre obratno lupino na 67.217.57.240 na vratih 888 in namesti skener React za iskanje dodatnih ranljivih ciljev na internetu.

Operacija PCPcat: Obseg in vpliv

Domneva se, da je skupna dejavnost, ki jo spremljamo pod imenom Operation PCPcat, že ogrozila 59.128 strežnikov. Analitiki ocenjujejo kampanjo kot pokazatelj obsežnega zbiranja obveščevalnih podatkov in industrializirane eksfiltracije podatkov. Trenutne meritve kažejo, da je več kot 111.000 IP-naslovov še vedno ranljivih za izkoriščanje React2Shell, z največjo koncentracijo v Združenih državah Amerike, sledijo jim Nemčija, Francija in Indija. Zbrana telemetrija nadalje kaže, da je na stotine zlonamernih IP-naslovov v regijah, kot so ZDA, Indija, Združeno kraljestvo, Singapur in Nizozemska, aktivno sodelovalo v poskusih izkoriščanja v enem samem 24-urnem obdobju.

V trendu

Najbolj gledan

Nalaganje...